Законодательство РФ
|
"Стандарт Банка России "Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" СТО БР ИББС-1.2-2009"
(принят и введен в действие Распоряжением Банка России от 07.05.2009 N Р-496)
"Стандарт Банка России "Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2008" СТО БР ИББС-1.2-2009" (принят и введен в действие Распоряжением Банка России от 07.05.2009 N Р-496)
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ТРЕБОВАНИЯМ
СТО БР ИББС-1.0-2008
1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 7 мая 2009 года N Р-496.
2. ВЗАМЕН СТО БР ИББС-1.2-2007.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008) с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.
Настоящий стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008), а также итогового уровня соответствия ИБ требованиям стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008) при проведении внутренней и (или) внешней оценки и самооценки ИБ.
Настоящая методика распространяется на организации БС РФ, а также на организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2008, далее - СТО БР ИББС-1.0).
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ, а также в договорных документах, устанавливающих отношения сторон при проведении внешних оценок ИБ.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.
В настоящем стандарте использованы нормативные ссылки на СТО БР ИББС-1.0.
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" (СТО БР ИББС-1.1-2007), а также следующие термины с соответствующими определениями.
3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.
3.2. Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0.
3.3. Проверяемая организация: Организация БС РФ, информационная безопасность которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.
АБС - автоматизированная банковская система; БС - банковская система; ЖЦ - жизненный цикл; ИБ - информационная безопасность; НСД - несанкционированный доступ; НРД - нерегламентированные действия в рамках предоставленных полномочий; РФ - Российская Федерация; СКЗИ - средство криптографической защиты информации; СМИБ - система менеджмента информационной безопасности; СИБ - система информационной безопасности; СОИБ - система обеспечения информационной безопасности; ЭВМ - электронная вычислительная машина; ЭЦП - электронная цифровая подпись; альфа - коэффициент значимости частного показателя; i.j EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации"; EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации"; EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации"; EV - оценка степени выполнения требований СТО БР ИББС-1.0, БИТП регламентирующих банковский информационный технологический процесс; EV - оценка степени выполнения требований СТО БР ИББС-1.0, БПТП регламентирующих банковский платежный технологический процесс; EV - оценка степени выполнения требований СТО БР ИББС-1.0 для Mi группового показателя; EV - оценка степени выполнения требований СТО БР ИББС-1.0 для Mi.j частного показателя; i - номер группового показателя; j - номер частного показателя; Mi.j - обозначение частного показателя; R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
5.1. Целью настоящей методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ (далее - организации) требованиям СТО БР ИББС-1.0 по направлениям оценки:
- текущий уровень ИБ организации;
- уровень осознания ИБ организации.
5.2. Задачами настоящей методики являются:
- определение состава показателей ИБ и способов их оценивания;
- определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС-1.0;
- определение способа оценивания менеджмента ИБ организации и уровня осознания ИБ организации с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;
- определение итогового уровня соответствия ИБ организации требованиям СТО БР ИББС-1.0.
6. Показатели информационной безопасности. Способы
оценивания показателей
6.1. Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей (EV ) используются для получения оценки по Mi направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (EV ), которые затем формируют оценки Mi.j EV групповых показателей. Mi
Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.
6.2. Частные показатели разделены на две категории. Первую категорию составляют частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Вторую категорию составляют частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным категориям определена в формах Приложения А.
6.3. Способ оценивания частного показателя зависит от его принадлежности к одной из категорий, определенных в п. 6.2 настоящей методики.
6.4. Оценка EV частного показателя формируется на основании Mi.j выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания.
Оценивание частного показателя должно сопровождаться внесением символа, например "X", в соответствующую графу представленных в Приложении А форм.
6.5. Для частных показателей, выполнение которых обязательно, устанавливается следующая шкала степени их выполнения:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25; 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.6. Для частных показателей, выполнение которых рекомендуется, устанавливается следующая шкала степени их выполнения:
- "да" - оценке присваивается значение, равное единице;
- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий общий подход:
Таблица 1 - Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ
┌─────────────┬───────────────────────────────────────────────────────────┐ │ Оценка │ Критерий выставления оценки частного показателя ИБ │ │ частного │ │ │показателя ИБ│ │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0 │Требования частного показателя ИБ не установлены во │ │ │внутренних нормативных документах проверяемой организации и│ │ │не выполняются │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0 │Требования частного показателя ИБ частично установлены в │ │ │нормативных документах проверяемой организации, но не │ │ │выполняются │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,25 │Требования частного показателя ИБ полностью установлены в │ │ │нормативных документах проверяемой организации, но не │ │ │выполняются │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,25 │Требования частного показателя ИБ не установлены во │ │ │внутренних нормативных документах проверяемой организации и│ │ │выполняются в неполном объеме │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,25 │Требования частного показателя ИБ частично установлены во │ │ │внутренних нормативных документах проверяемой организации и│ │ │выполняются в неполном объеме │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,5 │Требования частного показателя ИБ полностью установлены во │ │ │внутренних нормативных документах проверяемой организации и│ │ │выполняются в неполном объеме │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,5 │Требования частного показателя ИБ не установлены во │ │ │внутренних нормативных документах проверяемой организации, │ │ │но выполняются в полном объеме │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,75 │Требования частного показателя ИБ частично установлены во │ │ │внутренних нормативных документах проверяемой организации, │ │ │но выполняются в полном объеме │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 1 │Требования частного показателя ИБ полностью установлены во │ │ │внутренних нормативных документах проверяемой организации и│ │ │выполняются в полном объеме │ └─────────────┴───────────────────────────────────────────────────────────┘
6.8. При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий общий подход:
Таблица 2 - Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень документированности требований ИБ
┌─────────────┬───────────────────────────────────────────────────────────┐ │ Оценка │ Критерий выставления оценки частного показателя ИБ │ │ частного │ │ │показателя ИБ│ │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0 │Требования частного показателя ИБ не установлены во │ │ │внутренних нормативных документах проверяемой организации │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,5 │Требования частного показателя ИБ частично установлены в │ │ │нормативных документах проверяемой организации │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 1 │Требования частного показателя ИБ полностью установлены в │ │ │нормативных документах проверяемой организации │ └─────────────┴───────────────────────────────────────────────────────────┘
6.9. При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий общий подход:
Таблица 3 - Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ
┌─────────────┬───────────────────────────────────────────────────────────┐ │ Оценка │ Критерий выставления оценки частного показателя ИБ │ │ частного │ │ │показателя ИБ│ │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0 │Требования частного показателя ИБ не выполняются │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 0,5 │Требования частного показателя ИБ выполняются в неполном │ │ │объеме │ ├─────────────┼───────────────────────────────────────────────────────────┤ │ 1 │Требования частного показателя ИБ выполняются в полном │ │ │объеме │ └─────────────┴───────────────────────────────────────────────────────────┘
6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область аудита ИБ (например, ограниченная выборка автоматизированных банковских систем), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.
6.11. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.
Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы соответственно.
6.12. Оценка группового показателя (EV ) вычисляется из оценок Mi входящих в него частных показателей (EV ) с учетом коэффициентов Mi.j значимости альфа , определяющих важность частного показателя для i.j оценивания группового показателя: EV = SUM альфа x EV . Mi j i.j Mi.j
При формировании коэффициентов значимости учитывалось следующее условие нормировки:
k
SUM альфа = 1,
j=1 i.j
где k - число частных показателей в i-м групповом показателе.
Коэффициенты значимости альфа для каждого частного показателя
i.j
приведены в Приложении А.
6.13. Если в рамках группового показателя все входящие в него частные
показатели определены как неоцениваемые, указанный групповой показатель
также определяется как неоцениваемый и не учитывается в формировании
дальнейших результатов оценки. В этом случае групповой показатель не
учитывается в формулах расчета для EV , EV , EV2 или EV3 (см. разделы
БИТП БПТП
7, 8, 9) с соответствующей корректировкой в формулах расчета количества
оцениваемых групповых показателей. Оценки для таких групповых показателей
не отображаются на круговой диаграмме (см. раздел 10).
7. Оценка текущего уровня информационной безопасности
организации банковской системы Российской Федерации
7.1. Оценка текущего уровня ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;
- обеспечение ИБ на стадиях жизненного цикла АБС;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической защиты информации;
- обеспечение ИБ банковских платежных технологических процессов;
- обеспечение ИБ банковских информационных технологических процессов.
7.2. Групповые показатели по направлению оценки "текущий уровень ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 4 - Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0
┌────────────┬─────────────────────────────────────────┬──────────────────┐ │ Обозначение│ Наименование группового показателя ИБ │ Структурный │ │ группового │ │ элемент СТО БР │ │ показателя │ │ ИББС-1.0 │ │ ИБ │ │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М1 │Обеспечение ИБ при назначении и │ п. 7.2 │ │ │распределении ролей и обеспечении │ │ │ │доверия к персоналу │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М2 │Обеспечение ИБ на стадиях жизненного │ п. 7.3 │ │ │цикла АБС │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М3 │Обеспечение ИБ при управлении доступом и │ п. 7.4 │ │ │регистрации │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М4 │Обеспечение ИБ средствами антивирусной │ п. 7.5 │ │ │защиты │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М5 │Обеспечение ИБ при использовании │ п. 7.6 │ │ │ресурсов сети Интернет │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М6 │Обеспечение ИБ при использовании средств │ п. 7.7 │ │ │криптографической защиты информации │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М7 │Обеспечение ИБ банковских платежных │ п. 7.8 │ │ │технологических процессов │ │ ├────────────┼─────────────────────────────────────────┼──────────────────┤ │ М8 │Обеспечение ИБ банковских информационных │ п. 7.9 │ │ │технологических процессов │ │ └────────────┴─────────────────────────────────────────┴──────────────────┘ 7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению . оценки "текущий уровень ИБ организации" (показатели М1 - М8), метрики, а . также коэффициенты значимости альфа для каждого частного показателя i.j приведены в Приложении А. 7.4. Оценивание частных показателей в рамках групповых показателей М1 . - М6 необходимо осуществлять по результатам анализа выполнения . соответствующих требований СТО БР ИББС-1.0 применительно к организации в целом, включая банковский платежный технологический процесс (М7) и банковский информационный технологический процесс (М8). 7.5. Оценки EV и EV , полученные в результате оценивания групповых Mi.j Mi . показателей ИБ М1 - М8, вносятся в соответствующие графы представленных . в Приложении А форм.
7.6. Итоговая оценка EV1, отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", определяется по наименьшему значению из оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.
7.7. Оценка уровня ИБ банковского платежного технологического процесса вычисляется по формуле:
SUM EV + EV
i Mi M7 .
EV = ----------------, i = 1 - 6.
БПТП 7 .
Оценка уровня ИБ банковского информационного технологического процесса вычисляется по формуле:
SUM EV + EV
i Mi MВ .
EV = ----------------, i = 1 - 6.
БИТП 7 .
7.8. Оценки EV , полученные в результате оценивания групповых
Mi
.
показателей ИБ М1 - М8, отображаются на круговой диаграмме (см. раздел 10)
.
в секторах с 1-го по 8-й дугами, отстающими от центра круговой диаграммы на
величину, соответствующую значению этих оценок.7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел 10) в секторах с 1-го по 8-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV1.
8. Оценка менеджмента информационной безопасности
организации банковской системы Российской Федерации
8.1. Оценка менеджмента ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- организация и функционирование службы ИБ организации;
- определение/коррекция области действия СОИБ;
- выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;
- разработка планов обработки рисков нарушения ИБ;
- разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;
- принятие руководством организации решений о реализации и эксплуатации СОИБ;
- организация реализации планов обработки рисков нарушения ИБ;
- разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;
- организация обнаружения и реагирования на инциденты безопасности;
- организация обеспечения непрерывности бизнеса и его восстановления после прерываний;
- мониторинг и контроль защитных мер;
- проведение внешнего аудита ИБ;
- анализ функционирования СОИБ;
- анализ СОИБ со стороны руководства организации;
- принятие решений по тактическим улучшениям СОИБ;
- принятие решений по стратегическим улучшениям СОИБ.
8.2. Групповые показатели по направлению оценки "менеджмент ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 5 - Соответствие групповых показателей ИБ требованиям к СМИБ, представленным в разделе 8 СТО БР ИББС-1.0
┌────────────┬──────────────────────────────────────────────┬─────────────┐ │ Обозначение│ Наименование группового показателя ИБ │ Структурный │ │ группового │ │ элемент │ │ показателя │ │ СТО БР │ │ ИБ │ │ ИББС-1.0 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М9 │Организация и функционирование службы ИБ │ п. 8.2 │ │ │организации │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М10 │Определение/коррекция области действия СОИБ │ п. 8.3 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М11 │Выбор/коррекция подхода к оценке рисков │ п. 8.4 │ │ │нарушения ИБ и проведение оценки рисков │ │ │ │нарушения ИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М12 │Разработка планов обработки рисков нарушения │ п. 8.5 │ │ │ИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М13 │Разработка/коррекция внутренних документов, │ п. 8.6 │ │ │регламентирующих деятельность в области │ │ │ │обеспечения ИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М14 │Принятие руководством организации решений о │ п. 8.7 │ │ │реализации и эксплуатации СОИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М15 │Организация реализации планов внедрения СОИБ │ п. 8.8 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М16 │Разработка и организация реализации программ │ п. 8.9 │ │ │по обучению и повышению осведомленности в │ │ │ │области ИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М17 │Организация обнаружения и реагирования на │ п. 8.10 │ │ │инциденты безопасности │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М18 │Организация обеспечения непрерывности бизнеса │ п. 8.11 │ │ │и его восстановления после прерываний │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М19 │Мониторинг и контроль защитных мер │ п. 8.12 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М20 │Проведение самооценки ИБ │ п. 8.13 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М21 │Проведение аудита ИБ │ п. 8.14 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М22 │Анализ функционирования СОИБ │ п. 8.15 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М23 │Анализ СОИБ со стороны руководства │ п. 8.16 │ │ │организации │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М24 │Принятие решений по тактическим улучшениям │ п. 8.17 │ │ │СОИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М25 │Принятие решений по стратегическим улучшениям │ п. 8.18 │ │ │СОИБ │ │ └────────────┴──────────────────────────────────────────────┴─────────────┘ 8.3. Частные показатели по направлению оценки "менеджмент ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению . оценки "менеджмент ИБ организации" (показатели М9 - М25), метрики, а также . коэффициенты значимости альфа для каждого частного показателя приведены i.j в Приложении А. 8.4. Оценки EV и EV , полученные в результате оценивания групповых Mi.j Mi . показателей ИБ М9 - М25, вносятся в соответствующие графы представленных . в Приложении А форм.
8.5. Итоговая оценка EV2, отражающая степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации", вычисляется по формуле:
25
SUM EV
i=9 Mi
EV2 = --------.
17
8.6. Оценки EV , полученные в результате оценивания групповых
Mi
.
показателей ИБ М9 - М25, отображаются на круговой диаграмме (см. раздел 10)
.
в секторах с 9-го по 25-й дугами, отстающими от центра круговой диаграммы
на величину, соответствующую значению этих оценок.8.7. Оценка EV2 отображается на круговой диаграмме (см. раздел 10) в секторах с 9-го по 25-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.
9. Оценка уровня осознания информационной безопасности
организации банковской системы Российской Федерации
9.1. Оценка уровня осознания ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- деятельность руководства организации по поддержке функционирования службы ИБ организации;
- деятельность руководства организации по принятию решений о реализации и эксплуатации СОИБ;
- деятельность руководства организации по поддержке планирования СОИБ;
- деятельность руководства организации по поддержке реализации СОИБ;
- деятельность руководства организации по поддержке проверки СОИБ;
- деятельность руководства организации по анализу СОИБ;
- деятельность руководства организации по поддержке совершенствования СОИБ.
9.2. Групповые показатели по направлению оценки "уровень осознания ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 6 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 6 - Соответствие групповых показателей ИБ требованиям, представленным в разделе 8 СТО БР ИББС-1.0
┌────────────┬──────────────────────────────────────────────┬─────────────┐ │ Обозначение│ Наименование группового показателя ИБ │ Структурный │ │ группового │ │ элемент СТО │ │ показателя │ │ БР ИББС-1.0 │ │ ИБ │ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М26 │Оценка деятельности руководства организации │ п. 8.2 │ │ │по поддержке функционирования службы ИБ │ │ │ │организации │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М27 │Оценка деятельности руководства организации │ п. 8.7 │ │ │по принятию решений о реализации и │ │ │ │эксплуатации СОИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М28 │Оценка деятельности руководства организации │ п. 8.3, 8.4,│ │ │по поддержке планирования СОИБ │8.5, 8.6, 8.8│ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М29 │Оценка деятельности руководства организации │п. 8.9, 8.10,│ │ │по поддержке реализации СОИБ │ 8.11 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М30 │Оценка деятельности руководства организации │ п. 8.12, │ │ │по поддержке проверки СОИБ │ 8.13, 8.14, │ │ │ │ 8.15 │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М31 │Оценка деятельности руководства организации │ п. 8.16 │ │ │по анализу СОИБ │ │ ├────────────┼──────────────────────────────────────────────┼─────────────┤ │ М32 │Оценка деятельности руководства организации │п. 8.17, 8.18│ │ │по поддержке совершенствования СОИБ │ │ └────────────┴──────────────────────────────────────────────┴─────────────┘ 9.3. Частные показатели по направлению оценки "уровень осознания ИБ организации" отражают отдельные требования СТО БР ИББС-1.0 к СМИБ организации, относящиеся к деятельности руководства организации. Частные показатели по направлению оценки "уровень осознания ИБ организации" . (показатели М25 - М32), метрики, а также коэффициенты значимости . альфа для каждого частного показателя приведены в Приложении А. i.j 9.4. Оценки EV и EV , полученные в результате оценивания групповых Mi.j Mi . показателей ИБ М25 - М32, вносятся в соответствующие графы представленных . в Приложении А форм.
9.5. Итоговая оценка EV3, отражающая степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации", вычисляется по формуле:
32
SUM EV
i=26 Mi
EV3 = ---------.
7
9.6. Оценки EV , полученные в результате оценивания групповых
Mi
.
показателей ИБ М26 - М32, отображаются на круговой диаграмме (см. раздел
.
10) в секторах с 26-го по 32-й дугами, отстающими от центра круговой
диаграммы на величину, соответствующую значению этих оценок.9.7. Оценка EV3 отображается на круговой диаграмме (см. раздел 10) в секторах с 26-го по 32-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV3.
10. Определение уровня соответствия информационной
безопасности организации банковской системы Российской
Федерации требованиям СТО БР ИББС-1.0. Отображение оценок
10.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
10.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:
- оценки уровня осознания ИБ организации (EV3);
- оценки менеджмента ИБ организации (EV2);
- оценки текущего уровня ИБ организации (EV1).
10.3. Полученное в результате оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0 значение R является основой для формирования аудиторского заключения по результатам аудита ИБ.
10.4. Значения R, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России.
Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.
10.5. Рисунок 1 представляет собой круговую диаграмму для отображения результатов оценивания.
Секторы с 1-го по 8-й используются для отображения оценки текущего уровня ИБ организации.
Секторы с 9-го по 25-й используются для отображения оценки процессов менеджмента ИБ организации.
Секторы с 26-го по 32-й используются для отображения оценки уровня осознания ИБ организации.
Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.
Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.
Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.
Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.
Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.
Нулевому уровню соответствует круг до окружности радиусом 0,25.
Рисунок 1 - Круговая диаграмма для отображения
результатов оценивания
ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Групповой показатель М1 "Обеспечение информационной
безопасности при назначении и распределении ролей
и обеспечении доверия к персоналу"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.1 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0581 │ │ │ │организации роли ее работников? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.2 │Формируются ли роли, связанные с │ обязательный │ │ │ │ │ │ │ 0,0291 │ │ │ │выполнением деятельности по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ, на основании │ │ │ │ │ │ │ │ │ │ │ │требований разделов 7 и 8 │ │ │ │ │ │ │ │ │ │ │ │стандарта СТО БР ИББС-1.0? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.3 │Персонифицированы ли роли в │ обязательный │ │ │ │ │ │ │ 0,0502 │ │ │ │организации с установлением │ │ │ │ │ │ │ │ │ │ │ │ответственности за их выполнение? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.4 │Зафиксирована ли документально в │ обязательный │ │ │ │ │ │ │ 0,0461 │ │ │ │должностных инструкциях │ │ │ │ │ │ │ │ │ │ │ │ответственность за выполнение │ │ │ │ │ │ │ │ │ │ │ │ролей? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.5 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0522 │ │ │ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │ │ │разработки и сопровождения │ │////│/////│/////│/////│ │ │ │ │ │ │системы/ПО? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.6 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0610 │ │ │ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │ │ │разработки и эксплуатации │ │////│/////│/////│/////│ │ │ │ │ │ │системы/ПО? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.7 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0522 │ │ │ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │ │ │сопровождения и эксплуатации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.8 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0661 │ │ │ │роли, совмещающие функции │ │////│/////│/////│/////│ │ │ │ │ │ │администратора системы и │ │////│/////│/////│/////│ │ │ │ │ │ │администратора информационной │ │////│/////│/////│/////│ │ │ │ │ │ │безопасности? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.9 │Отсутствуют ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0661 │ │ │ │роли, совмещающие функции по │ │////│/////│/////│/////│ │ │ │ │ │ │выполнению операций в системе и │ │////│/////│/////│/////│ │ │ │ │ │ │контроля их выполнения? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.10 │Определены ли документально в │ обязательный │ │ │ │ │ │ │ 0,1001 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры контроля деятельности │ │ │ │ │ │ │ │ │ │ │ │работников, обладающих │ │ │ │ │ │ │ │ │ │ │ │совокупностью полномочий │ │ │ │ │ │ │ │ │ │ │ │(ролями), позволяющих получить │ │ │ │ │ │ │ │ │ │ │ │контроль над защищаемым │ │ │ │ │ │ │ │ │ │ │ │информационным активом │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0513 │ │ │ │организации процедуры приема на │ │ │ │ │ │ │ │ │ │ │ │работу, влияющую на обеспечение │ │ │ │ │ │ │ │ │ │ │ │ИБ, включающие: │ │ │ │ │ │ │ │ │ │ │ │- проверку подлинности │ │ │ │ │ │ │ │ │ │ │ │предоставленных документов, │ │ │ │ │ │ │ │ │ │ │ │заявляемой квалификации, точности │ │ │ │ │ │ │ │ │ │ │ │и полноты биографических навыков; │ │ │ │ │ │ │ │ │ │ │ │- проверку в части │ │ │ │ │ │ │ │ │ │ │ │профессиональных навыков и оценку │ │ │ │ │ │ │ │ │ │ │ │профессиональной пригодности? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.12 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0371 │ │ │ │частном показателе М1.11 │ │ │ │ │ │ │ │ │ │ │ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │ │ │результатов проводимых проверок? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.13 │Определены ли в документах │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0302 │ │ │ │организации процедуры регулярной │ │////│/////│/////│/////│ │ │ │ │ │ │проверки в части профессиональных │ │////│/////│/////│/////│ │ │ │ │ │ │навыков и оценки профессиональной │ │////│/////│/////│/////│ │ │ │ │ │ │пригодности работников? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.14 │Предусматривают ли указанные в │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0302 │ │ │ │частном показателе М1.13 │ │////│/////│/////│/////│ │ │ │ │ │ │процедуры документальную фиксацию │ │////│/////│/////│/////│ │ │ │ │ │ │результатов проводимых проверок? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.15 │Определены ли в документах │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0433 │ │ │ │организации процедуры внеплановой │ │////│/////│/////│/////│ │ │ │ │ │ │проверки работников при выявлении │ │////│/////│/////│/////│ │ │ │ │ │ │фактов их нештатного поведения, │ │////│/////│/////│/////│ │ │ │ │ │ │участия в инцидентах ИБ или │ │////│/////│/////│/////│ │ │ │ │ │ │подозрений в таком поведении или │ │////│/////│/////│/////│ │ │ │ │ │ │участии? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.16 │Предусматривают ли указанные в │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0391 │ │ │ │частном показателе М1.15 │ │////│/////│/////│/////│ │ │ │ │ │ │процедуры документальную фиксацию │ │////│/////│/////│/////│ │ │ │ │ │ │результатов проводимых проверок? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.17 │Обязаны ли все работники │ обязательный │ │ │ │ │ │ │ 0,0383 │ │ │ │организации давать письменные │ │ │ │ │ │ │ │ │ │ │ │обязательства о соблюдении │ │ │ │ │ │ │ │ │ │ │ │конфиденциальности, │ │ │ │ │ │ │ │ │ │ │ │приверженности правилам │ │ │ │ │ │ │ │ │ │ │ │корпоративной этики, включая │ │ │ │ │ │ │ │ │ │ │ │требования по недопущению │ │ │ │ │ │ │ │ │ │ │ │конфликта интересов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.18 │Регламентируются ли положениями, │ обязательный │ │ │ │ │ │ │ 0,0449 │ │ │ │включенными в договоры │ │ │ │ │ │ │ │ │ │ │ │(соглашения) с внешними │ │ │ │ │ │ │ │ │ │ │ │организациями и клиентами, │ │ │ │ │ │ │ │ │ │ │ │требования по ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.19 │Определены ли в трудовых │ обязательный │ │ │ │ │ │ │ 0,0582 │ │ │ │контрактах (соглашениях, │ │ │ │ │ │ │ │ │ │ │ │договорах) и (или) должностных │ │ │ │ │ │ │ │ │ │ │ │инструкциях обязанности персонала │ │ │ │ │ │ │ │ │ │ │ │по выполнению требований ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М1.20 │Приравнивается ли невыполнение │ обязательный │ │ │ │ │ │ │ 0,0462 │ │ │ │работниками организации │ │ │ │ │ │ │ │ │ │ │ │требований ИБ к невыполнению │ │ │ │ │ │ │ │ │ │ │ │должностных обязанностей и │ │ │ │ │ │ │ │ │ │ │ │приводит ли как минимум к │ │ │ │ │ │ │ │ │ │ │ │дисциплинарной ответственности? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М1 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М2 "Обеспечение информационной
безопасности автоматизированных банковских систем
на стадиях жизненного цикла"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.1 │Рассматриваются ли при │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0504 │ │ │ │формировании требований ИБ │ │////│/////│/////│/////│ │ │ │ │ │ │следующие стадии модели ЖЦ АБС: │ │////│/////│/////│/////│ │ │ │ │ │ │- разработка технических заданий; │ │////│/////│/////│/////│ │ │ │ │ │ │- проектирование; │ │////│/////│/////│/////│ │ │ │ │ │ │- создание и тестирование; │ │////│/////│/////│/////│ │ │ │ │ │ │- приемка и ввод в действие; │ │////│/////│/////│/////│ │ │ │ │ │ │- эксплуатация; │ │////│/////│/////│/////│ │ │ │ │ │ │- сопровождение и модернизации; │ │////│/////│/////│/////│ │ │ │ │ │ │- снятие с эксплуатации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.2 │Осуществляются ли разработка │ обязательный │ │ │ │ │ │ │ 0,0616 │ │ │ │технических заданий и приемка АБС │ │ │ │ │ │ │ │ │ │ │ │по согласованию и при участии │ │ │ │ │ │ │ │ │ │ │ │подразделения (лиц) в │ │ │ │ │ │ │ │ │ │ │ │организации, ответственных за │ │ │ │ │ │ │ │ │ │ │ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.3 │Осуществляются ли ввод в │ обязательный │ │ │ │ │ │ │ 0,0591 │ │ │ │действие, эксплуатация и │ │ │ │ │ │ │ │ │ │ │ │сопровождение (модернизация), │ │ │ │ │ │ │ │ │ │ │ │снятие с эксплуатации АБС под │ │ │ │ │ │ │ │ │ │ │ │контролем подразделений (лиц) в │ │ │ │ │ │ │ │ │ │ │ │организации, ответственных за │ │ │ │ │ │ │ │ │ │ │ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.4 │Имеют ли соответствующие лицензии │ обязательный │ │ │ │ │ │ │ 0,0563 │ │ │ │организации, которые привлекаются │ │ │ │ │ │ │ │ │ │ │ │на договорной основе для │ │ │ │ │ │ │ │ │ │ │ │разработки и (или) производства │ │ │ │ │ │ │ │ │ │ │ │средств и систем защиты АБС? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.5 │Снабжены ли разрабатываемые АБС │ обязательный │ │ │ │ │ │ │ 0,0646 │ │ │ │и (или) их компоненты │ │ │ │ │ │ │ │ │ │ │ │документацией, содержащей │ │ │ │ │ │ │ │ │ │ │ │описание реализованных защитных │ │ │ │ │ │ │ │ │ │ │ │мер, в том числе в отношении │ │ │ │ │ │ │ │ │ │ │ │угроз ИБ (источников угроз), │ │ │ │ │ │ │ │ │ │ │ │описанных в модели угроз │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.6 │Снабжены ли приобретаемые │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0604 │ │ │ │организацией АБС и (или) их │ │////│/////│/////│/////│ │ │ │ │ │ │компоненты документацией, │ │////│/////│/////│/////│ │ │ │ │ │ │содержащей описание реализованных │ │////│/////│/////│/////│ │ │ │ │ │ │защитных мер, в том числе в │ │////│/////│/////│/////│ │ │ │ │ │ │отношении угроз ИБ (источников │ │////│/////│/////│/////│ │ │ │ │ │ │угроз), описанных в модели угроз │ │////│/////│/////│/////│ │ │ │ │ │ │организации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.7 │Содержит ли документация на │ обязательный │ │ │ │ │ │ │ 0,0450 │ │ │ │разрабатываемые АБС или │ │ │ │ │ │ │ │ │ │ │ │приобретаемые готовые АБС и их │ │ │ │ │ │ │ │ │ │ │ │компоненты описание реализованных │ │ │ │ │ │ │ │ │ │ │ │защитных мер, предпринятых │ │ │ │ │ │ │ │ │ │ │ │разработчиком относительно │ │ │ │ │ │ │ │ │ │ │ │безопасности разработки и │ │ │ │ │ │ │ │ │ │ │ │безопасности поставки? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.8 │Реализуется ли при взаимодействии │ обязательный │ │ │ │ │ │ │ 0,0604 │ │ │ │организации с разработчиком АБС и │ │ │ │ │ │ │ │ │ │ │ │их компонентов одна из трех │ │ │ │ │ │ │ │ │ │ │ │альтернатив: │ │ │ │ │ │ │ │ │ │ │ │1) в договор (контракт) │ │ │ │ │ │ │ │ │ │ │ │о разработке АБС или │ │ │ │ │ │ │ │ │ │ │ │поставке готовых АБС и их │ │ │ │ │ │ │ │ │ │ │ │компонентов включаются положения │ │ │ │ │ │ │ │ │ │ │ │по сопровождению поставляемых │ │ │ │ │ │ │ │ │ │ │ │изделий на весь срок их службы; │ │ │ │ │ │ │ │ │ │ │ │2) организация приобретает полный │ │ │ │ │ │ │ │ │ │ │ │комплект рабочей конструкторской │ │ │ │ │ │ │ │ │ │ │ │документации, обеспечивающий │ │ │ │ │ │ │ │ │ │ │ │возможность сопровождения АБС и │ │ │ │ │ │ │ │ │ │ │ │их компонентов без участия │ │ │ │ │ │ │ │ │ │ │ │разработчика; │ │ │ │ │ │ │ │ │ │ │ │3) руководство организации │ │ │ │ │ │ │ │ │ │ │ │оценивает и документально │ │ │ │ │ │ │ │ │ │ │ │оформляет допустимость риска │ │ │ │ │ │ │ │ │ │ │ │нарушения ИБ, возникающего при │ │ │ │ │ │ │ │ │ │ │ │невозможности сопровождения АБС │ │ │ │ │ │ │ │ │ │ │ │и их компонентов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.9 │Учитывается ли при разработке │ обязательный │ │ │ │ │ │ │ 0,0596 │ │ │ │технических заданий на системы │ │ │ │ │ │ │ │ │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания, что защита данных │ │ │ │ │ │ │ │ │ │ │ │должна обеспечиваться в условиях: │ │ │ │ │ │ │ │ │ │ │ │- попыток доступа к банковской │ │ │ │ │ │ │ │ │ │ │ │информации анонимных, │ │ │ │ │ │ │ │ │ │ │ │неавторизованных злоумышленников │ │ │ │ │ │ │ │ │ │ │ │при использовании сетей общего │ │ │ │ │ │ │ │ │ │ │ │пользования; │ │ │ │ │ │ │ │ │ │ │ │- возможности ошибок │ │ │ │ │ │ │ │ │ │ │ │авторизованных пользователей │ │ │ │ │ │ │ │ │ │ │ │систем; │ │ │ │ │ │ │ │ │ │ │ │- возможности ненамеренного или │ │ │ │ │ │ │ │ │ │ │ │неадекватного использования │ │ │ │ │ │ │ │ │ │ │ │конфиденциальных данных │ │ │ │ │ │ │ │ │ │ │ │авторизованными пользователями? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.10 │Обеспечиваются ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0474 │ │ │ │тестирования анонимность данных и │ │ │ │ │ │ │ │ │ │ │ │проверка адекватности │ │ │ │ │ │ │ │ │ │ │ │разграничения доступа? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0700 │ │ │ │организации и выполняются ли на │ │ │ │ │ │ │ │ │ │ │ │стадии эксплуатации АБС процедуры │ │ │ │ │ │ │ │ │ │ │ │контроля работоспособности │ │ │ │ │ │ │ │ │ │ │ │(функционирования, эффективности) │ │ │ │ │ │ │ │ │ │ │ │реализованных в АБС защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.12 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0626 │ │ │ │частном показателе М2.11 │ │ │ │ │ │ │ │ │ │ │ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │ │ │результатов контроля? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.13 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0596 │ │ │ │организации и выполняются ли на │ │ │ │ │ │ │ │ │ │ │ │стадии сопровождения │ │ │ │ │ │ │ │ │ │ │ │(модернизации) АБС процедуры │ │ │ │ │ │ │ │ │ │ │ │контроля, обеспечивающие защиту │ │ │ │ │ │ │ │ │ │ │ │от: │ │ │ │ │ │ │ │ │ │ │ │- умышленного │ │ │ │ │ │ │ │ │ │ │ │несанкционированного раскрытия, │ │ │ │ │ │ │ │ │ │ │ │модификации или уничтожения │ │ │ │ │ │ │ │ │ │ │ │информации; │ │ │ │ │ │ │ │ │ │ │ │- неумышленной модификации, │ │ │ │ │ │ │ │ │ │ │ │раскрытия или уничтожения │ │ │ │ │ │ │ │ │ │ │ │информации; │ │ │ │ │ │ │ │ │ │ │ │- отказа в обслуживании или │ │ │ │ │ │ │ │ │ │ │ │ухудшения обслуживания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.14 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0533 │ │ │ │частном показателе М2.13 │ │ │ │ │ │ │ │ │ │ │ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │ │ │результатов контроля? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.15 │Проводятся ли на стадии │ обязательный │ │ │ │ │ │ │ 0,0646 │ │ │ │сопровождения (модернизации) при │ │ │ │ │ │ │ │ │ │ │ │любом внесении изменений в АБС │ │ │ │ │ │ │ │ │ │ │ │процедуры проверки │ │ │ │ │ │ │ │ │ │ │ │функциональности, результаты │ │ │ │ │ │ │ │ │ │ │ │которых документируются? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.16 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0675 │ │ │ │выполняются ли на стадии снятия с │ │ │ │ │ │ │ │ │ │ │ │эксплуатации процедуры, │ │ │ │ │ │ │ │ │ │ │ │обеспечивающие удаление │ │ │ │ │ │ │ │ │ │ │ │информации, несанкционированное │ │ │ │ │ │ │ │ │ │ │ │использование которой может │ │ │ │ │ │ │ │ │ │ │ │нанести ущерб бизнес-деятельности │ │ │ │ │ │ │ │ │ │ │ │организации, и информации, │ │ │ │ │ │ │ │ │ │ │ │используемой средствами │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ, из постоянной │ │ │ │ │ │ │ │ │ │ │ │памяти АБС и с внешних носителей │ │ │ │ │ │ │ │ │ │ │ │(за исключением архивов │ │ │ │ │ │ │ │ │ │ │ │электронных документов и │ │ │ │ │ │ │ │ │ │ │ │протоколов электронного │ │ │ │ │ │ │ │ │ │ │ │взаимодействия, ведение и │ │ │ │ │ │ │ │ │ │ │ │сохранность которых в течение │ │ │ │ │ │ │ │ │ │ │ │определенного срока предусмотрены │ │ │ │ │ │ │ │ │ │ │ │соответствующими нормативными │ │ │ │ │ │ │ │ │ │ │ │и (или) договорными документами)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М2.17 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0576 │ │ │ │частном показателе М2.16 │ │ │ │ │ │ │ │ │ │ │ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │ │ │результатов их выполнения? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М2 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.1 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0356 │ │ │ │организации перечень │ │ │ │ │ │ │ │ │ │ │ │информационных активов (их │ │ │ │ │ │ │ │ │ │ │ │типов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.2 │Зафиксированы ли документально │ обязательный │ │ │ │ │ │ │ 0,0360 │ │ │ │права доступа работников и │ │ │ │ │ │ │ │ │ │ │ │клиентов к информационным активам │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.3 │Применяются ли в составе АБС │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │ │встроенные защитные меры? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.4 │Применяются ли в составе АБС │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0334 │ │ │ │сертифицированные или разрешенные │ │////│/////│/////│/////│ │ │ │ │ │ │к применению руководством │ │////│/////│/////│/////│ │ │ │ │ │ │организации средства защиты │ │////│/////│/////│/////│ │ │ │ │ │ │информации от НСД и НРД и │ │////│/////│/////│/////│ │ │ │ │ │ │средства криптографической защиты │ │////│/////│/////│/////│ │ │ │ │ │ │информации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0366 │ │ │ │организации, утверждены ли │ │ │ │ │ │ │ │ │ │ │ │руководством организации, │ │ │ │ │ │ │ │ │ │ │ │выполняются ли и контролируются │ │ │ │ │ │ │ │ │ │ │ │ли процедуры идентификации, │ │ │ │ │ │ │ │ │ │ │ │аутентификации и авторизации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.6 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │ │ │частном показателе М3.5? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0360 │ │ │ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │ │ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │ │ │управления доступом? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.8 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0334 │ │ │ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │ │ │частном показателе М3.7? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0340 │ │ │ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │ │ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │ │ │контроля целостности? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.10 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0319 │ │ │ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │ │ │частном показателе М3.9? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0319 │ │ │ │организации, выполняются ли и │ │ │ │ │ │ │ │ │ │ │ │контролируются ли процедуры │ │ │ │ │ │ │ │ │ │ │ │регистрации событий и действий? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.12 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0286 │ │ │ │контроля процедур, указанных в │ │ │ │ │ │ │ │ │ │ │ │частном показателе М3.11? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.13 │Исключают ли процедуры управления │ обязательный │ │ │ │ │ │ │ 0,0308 │ │ │ │доступом возможность │ │ │ │ │ │ │ │ │ │ │ │"самосанкционирования"? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.14 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0331 │ │ │ │организации процедуры мониторинга │ │ │ │ │ │ │ │ │ │ │ │и анализа данных регистрации, │ │ │ │ │ │ │ │ │ │ │ │действий и операций, позволяющие │ │ │ │ │ │ │ │ │ │ │ │выявить неправомерные или │ │ │ │ │ │ │ │ │ │ │ │подозрительные операции и │ │ │ │ │ │ │ │ │ │ │ │транзакции? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.15 │Используются ли │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0255 │ │ │ │специализированные программные │ │////│/////│/////│/////│ │ │ │ │ │ │и (или) технические средства для │ │////│/////│/////│/////│ │ │ │ │ │ │проведения процедур мониторинга и │ │////│/////│/////│/////│ │ │ │ │ │ │анализа данных регистрации, │ │////│/////│/////│/////│ │ │ │ │ │ │действия и операций? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.16 │Используют ли процедуры │ обязательный │ │ │ │ │ │ │ 0,0266 │ │ │ │мониторинга и анализа │ │ │ │ │ │ │ │ │ │ │ │документально определенные │ │ │ │ │ │ │ │ │ │ │ │критерии выявления неправомерных │ │ │ │ │ │ │ │ │ │ │ │или подозрительных действий и │ │ │ │ │ │ │ │ │ │ │ │операций? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.17 │Применяются ли процедуры │ обязательный │ │ │ │ │ │ │ 0,0286 │ │ │ │мониторинга и анализа на │ │ │ │ │ │ │ │ │ │ │ │регулярной основе (например, │ │ │ │ │ │ │ │ │ │ │ │ежедневно) ко всем выполненным │ │ │ │ │ │ │ │ │ │ │ │операциям и транзакциям? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.18 │Регламентирован ли во внутренних │ обязательный │ │ │ │ │ │ │ 0,0292 │ │ │ │документах организации порядок │ │ │ │ │ │ │ │ │ │ │ │доступа работников организации в │ │ │ │ │ │ │ │ │ │ │ │помещения, в которых размещаются │ │ │ │ │ │ │ │ │ │ │ │объекты среды информационных │ │ │ │ │ │ │ │ │ │ │ │активов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.19 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0297 │ │ │ │порядка доступа работников │ │ │ │ │ │ │ │ │ │ │ │организации в помещения, в │ │ │ │ │ │ │ │ │ │ │ │которых размещаются объекты среды │ │ │ │ │ │ │ │ │ │ │ │информационных активов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.20 │Оформляются ли документально │ обязательный │ │ │ │ │ │ │ 0,0263 │ │ │ │результаты выполнения контроля │ │ │ │ │ │ │ │ │ │ │ │порядка доступа работников │ │ │ │ │ │ │ │ │ │ │ │организации в помещения, в │ │ │ │ │ │ │ │ │ │ │ │которых размещаются объекты среды │ │ │ │ │ │ │ │ │ │ │ │информационных активов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.21 │Обеспечивают ли используемые в │ обязательный │ │ │ │ │ │ │ 0,0328 │ │ │ │организации АБС, в том числе │ │ │ │ │ │ │ │ │ │ │ │системы дистанционного │ │ │ │ │ │ │ │ │ │ │ │банковского обслуживания, │ │ │ │ │ │ │ │ │ │ │ │возможность регистрации: │ │ │ │ │ │ │ │ │ │ │ │- операций с данными о клиентских │ │ │ │ │ │ │ │ │ │ │ │счетах, включая операции │ │ │ │ │ │ │ │ │ │ │ │открытия, модификации и закрытия │ │ │ │ │ │ │ │ │ │ │ │клиентских счетов; │ │ │ │ │ │ │ │ │ │ │ │- проводимых транзакций, имеющих │ │ │ │ │ │ │ │ │ │ │ │финансовые последствия; │ │ │ │ │ │ │ │ │ │ │ │- операций, связанных с │ │ │ │ │ │ │ │ │ │ │ │назначением и распределением прав │ │ │ │ │ │ │ │ │ │ │ │пользователей? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.22 │Реализованы ли в системах │ обязательный │ │ │ │ │ │ │ 0,0344 │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания, используемых в │ │ │ │ │ │ │ │ │ │ │ │организации, защитные меры, │ │ │ │ │ │ │ │ │ │ │ │обеспечивающие невозможность │ │ │ │ │ │ │ │ │ │ │ │отказа от авторства проводимых │ │ │ │ │ │ │ │ │ │ │ │клиентами операций и транзакций │ │ │ │ │ │ │ │ │ │ │ │(например, ЭЦП)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.23 │Придано ли протоколам операций, │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0312 │ │ │ │выполняемых посредством │ │////│/////│/////│/////│ │ │ │ │ │ │дистанционного банковского │ │////│/////│/////│/////│ │ │ │ │ │ │обслуживания, свойство │ │////│/////│/////│/////│ │ │ │ │ │ │юридической значимости, например, │ │////│/////│/////│/////│ │ │ │ │ │ │путем внесения соответствующих │ │////│/////│/////│/////│ │ │ │ │ │ │положений в договоры на │ │////│/////│/////│/////│ │ │ │ │ │ │дистанционное банковское │ │////│/////│/////│/////│ │ │ │ │ │ │обслуживание? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.24 │Производится ли при заключении │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0274 │ │ │ │договоров со сторонними │ │////│/////│/////│/////│ │ │ │ │ │ │организациями юридическое │ │////│/////│/////│/////│ │ │ │ │ │ │оформление договоренностей, │ │////│/////│/////│/////│ │ │ │ │ │ │определяющих необходимый уровень │ │////│/////│/////│/////│ │ │ │ │ │ │взаимодействия в случае выхода │ │////│/////│/////│/////│ │ │ │ │ │ │инцидента ИБ за рамки отдельной │ │////│/////│/////│/////│ │ │ │ │ │ │организации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.25 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0294 │ │ │ │организации процедуры, │ │ │ │ │ │ │ │ │ │ │ │определяющие действия работников │ │ │ │ │ │ │ │ │ │ │ │и клиентов организации в случае │ │ │ │ │ │ │ │ │ │ │ │компрометации информации, │ │ │ │ │ │ │ │ │ │ │ │необходимой для их идентификации, │ │ │ │ │ │ │ │ │ │ │ │аутентификации и (или) │ │ │ │ │ │ │ │ │ │ │ │авторизации, в том числе │ │ │ │ │ │ │ │ │ │ │ │произошедшей по их вине, включая │ │ │ │ │ │ │ │ │ │ │ │информацию о способах │ │ │ │ │ │ │ │ │ │ │ │распознавания таких случаев? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.26 │Доведены ли до сведения │ обязательный │ │ │ │ │ │ │ 0,0283 │ │ │ │работников и клиентов организации │ │ │ │ │ │ │ │ │ │ │ │процедуры, указанные в частном │ │ │ │ │ │ │ │ │ │ │ │показателе М3.25? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.27 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0254 │ │ │ │частном показателе М3.26 │ │ │ │ │ │ │ │ │ │ │ │процедуры документирование │ │ │ │ │ │ │ │ │ │ │ │работниками и клиентами своих │ │ │ │ │ │ │ │ │ │ │ │действий и их результатов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.28 │Реализованы ли в системах │ обязательный │ │ │ │ │ │ │ 0,0239 │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания механизмы │ │ │ │ │ │ │ │ │ │ │ │информирования (регулярного, │ │ │ │ │ │ │ │ │ │ │ │непрерывного или по требованию) │ │ │ │ │ │ │ │ │ │ │ │клиентов обо всех операциях, │ │ │ │ │ │ │ │ │ │ │ │совершаемых от их имени? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.29 │Применяются ли в организации │ обязательный │ │ │ │ │ │ │ 0,0319 │ │ │ │защитные меры, направленные на │ │ │ │ │ │ │ │ │ │ │ │обеспечение защиты от НСД и НРД, │ │ │ │ │ │ │ │ │ │ │ │повреждения или нарушения │ │ │ │ │ │ │ │ │ │ │ │целостности информации, │ │ │ │ │ │ │ │ │ │ │ │необходимой для регистрации, │ │ │ │ │ │ │ │ │ │ │ │идентификации, аутентификации │ │ │ │ │ │ │ │ │ │ │ │и (или) авторизации клиентов и │ │ │ │ │ │ │ │ │ │ │ │работников организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.30 │Регистрируются ли все попытки НСД │ обязательный │ │ │ │ │ │ │ 0,0326 │ │ │ │и НРД к информации, необходимой │ │ │ │ │ │ │ │ │ │ │ │для идентификации, аутентификации │ │ │ │ │ │ │ │ │ │ │ │и (или) авторизации клиентов и │ │ │ │ │ │ │ │ │ │ │ │сотрудников организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.31 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0316 │ │ │ │организации и выполняется ли │ │ │ │ │ │ │ │ │ │ │ │процедура пересмотра прав доступа │ │ │ │ │ │ │ │ │ │ │ │при увольнении или изменении │ │ │ │ │ │ │ │ │ │ │ │должностных обязанностей │ │ │ │ │ │ │ │ │ │ │ │работников организации, имевших │ │ │ │ │ │ │ │ │ │ │ │доступ к информации, необходимой │ │ │ │ │ │ │ │ │ │ │ │для идентификации, аутентификации │ │ │ │ │ │ │ │ │ │ │ │и (или) авторизации клиентов и │ │ │ │ │ │ │ │ │ │ │ │сотрудников организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М3.32 │Осуществляется ли работа всех │ обязательный │ │ │ │ │ │ │ 0,0349 │ │ │ │пользователей АБС под уникальными │ │ │ │ │ │ │ │ │ │ │ │учетными записями? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М3 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М4 "Обеспечение информационной
безопасности средствами антивирусной защиты"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.1 │Применяются ли на всех │ обязательный │ │ │ │ │ │ │ 0,0744 │ │ │ │автоматизированных рабочих местах │ │ │ │ │ │ │ │ │ │ │ │и серверах АБС организации, если │ │ │ │ │ │ │ │ │ │ │ │иное не предусмотрено │ │ │ │ │ │ │ │ │ │ │ │технологическим процессом, │ │ │ │ │ │ │ │ │ │ │ │средства антивирусной защиты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.2 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0721 │ │ │ │организации процедуры установки и │ │ │ │ │ │ │ │ │ │ │ │регулярного обновления средств │ │ │ │ │ │ │ │ │ │ │ │антивирусной защиты (версий и баз │ │ │ │ │ │ │ │ │ │ │ │данных) на автоматизированных │ │ │ │ │ │ │ │ │ │ │ │рабочих местах и серверах АБС? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.3 │Осуществляются ли установка и │ обязательный │ │ │ │ │ │ │ 0,0653 │ │ │ │регулярное обновление средств │ │ │ │ │ │ │ │ │ │ │ │антивирусной защиты (версий и баз │ │ │ │ │ │ │ │ │ │ │ │данных) на автоматизированных │ │ │ │ │ │ │ │ │ │ │ │рабочих местах и серверах АБС │ │ │ │ │ │ │ │ │ │ │ │администраторами АБС или иными │ │ │ │ │ │ │ │ │ │ │ │официально уполномоченными │ │ │ │ │ │ │ │ │ │ │ │лицами? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.4 │Организован ли автоматический │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0559 │ │ │ │режим установки обновлений │ │////│/////│/////│/////│ │ │ │ │ │ │антивирусного программного │ │////│/////│/////│/////│ │ │ │ │ │ │обеспечения и его баз данных? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.5 │Контролируются ли установка и │ обязательный │ │ │ │ │ │ │ 0,0688 │ │ │ │обновление антивирусных средств │ │ │ │ │ │ │ │ │ │ │ │представителями подразделения │ │ │ │ │ │ │ │ │ │ │ │(лицами) в организации, │ │ │ │ │ │ │ │ │ │ │ │ответственными за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.6 │Организовано ли функционирование │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0583 │ │ │ │постоянной антивирусной защиты в │ │////│/////│/////│/////│ │ │ │ │ │ │автоматическом режиме? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.7 │Разработаны и введены ли в │ обязательный │ │ │ │ │ │ │ 0,0619 │ │ │ │действие инструкции по │ │ │ │ │ │ │ │ │ │ │ │антивирусной защите, учитывающие │ │ │ │ │ │ │ │ │ │ │ │особенности банковских │ │ │ │ │ │ │ │ │ │ │ │технологических процессов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.8 │Проводится ли антивирусная │ обязательный │ │ │ │ │ │ │ 0,0706 │ │ │ │фильтрация всего трафика │ │ │ │ │ │ │ │ │ │ │ │электронного почтового обмена? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.9 │Построена ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0501 │ │ │ │эшелонированная централизованная │ │////│/////│/////│/////│ │ │ │ │ │ │система антивирусной защиты, │ │////│/////│/////│/////│ │ │ │ │ │ │предусматривающая использование │ │////│/////│/////│/////│ │ │ │ │ │ │средств антивирусной защиты │ │////│/////│/////│/////│ │ │ │ │ │ │различных производителей и их │ │////│/////│/////│/////│ │ │ │ │ │ │раздельную установку на рабочих │ │////│/////│/////│/////│ │ │ │ │ │ │станциях, почтовых серверах и │ │////│/////│/////│/////│ │ │ │ │ │ │межсетевых экранах? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.10 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0605 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры предварительной │ │ │ │ │ │ │ │ │ │ │ │проверки устанавливаемого или │ │ │ │ │ │ │ │ │ │ │ │изменяемого программного │ │ │ │ │ │ │ │ │ │ │ │обеспечения на отсутствие │ │ │ │ │ │ │ │ │ │ │ │вирусов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.11 │Проводится ли антивирусная │ обязательный │ │ │ │ │ │ │ 0,0616 │ │ │ │проверка после установки и │ │ │ │ │ │ │ │ │ │ │ │изменения программного │ │ │ │ │ │ │ │ │ │ │ │обеспечения? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.12 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,0619 │ │ │ │установки, изменения программного │ │ │ │ │ │ │ │ │ │ │ │обеспечения и антивирусной │ │ │ │ │ │ │ │ │ │ │ │проверки? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.13 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0651 │ │ │ │организации процедуры, │ │ │ │ │ │ │ │ │ │ │ │выполняемые в случае обнаружения │ │ │ │ │ │ │ │ │ │ │ │компьютерных вирусов, в которых │ │ │ │ │ │ │ │ │ │ │ │зафиксированы: │ │ │ │ │ │ │ │ │ │ │ │- необходимые меры по отражению и │ │ │ │ │ │ │ │ │ │ │ │устранению последствий вирусной │ │ │ │ │ │ │ │ │ │ │ │атаки; │ │ │ │ │ │ │ │ │ │ │ │- порядок официального │ │ │ │ │ │ │ │ │ │ │ │информирования руководства; │ │ │ │ │ │ │ │ │ │ │ │- порядок приостановления при │ │ │ │ │ │ │ │ │ │ │ │необходимости работы (на период │ │ │ │ │ │ │ │ │ │ │ │устранения последствий вирусной │ │ │ │ │ │ │ │ │ │ │ │атаки)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.14 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0557 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры контроля за отключением │ │ │ │ │ │ │ │ │ │ │ │и обновлением антивирусных │ │ │ │ │ │ │ │ │ │ │ │средств на всех │ │ │ │ │ │ │ │ │ │ │ │автоматизированных рабочих местах │ │ │ │ │ │ │ │ │ │ │ │и серверах АБС? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.15 │Предусматривают ли указанные в │ обязательный │ │ │ │ │ │ │ 0,0513 │ │ │ │частном показателе М4.14 │ │ │ │ │ │ │ │ │ │ │ │процедуры документальную фиксацию │ │ │ │ │ │ │ │ │ │ │ │результатов контроля? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М4.16 │Возложена ли обязанность по │ обязательный │ │ │ │ │ │ │ 0,0665 │ │ │ │выполнению предписанных мер │ │ │ │ │ │ │ │ │ │ │ │антивирусной защиты на каждого │ │ │ │ │ │ │ │ │ │ │ │работника организации, имеющего │ │ │ │ │ │ │ │ │ │ │ │доступ к ЭВМ и (или) АБС, а │ │ │ │ │ │ │ │ │ │ │ │ответственность за выполнение │ │ │ │ │ │ │ │ │ │ │ │требований инструкции по │ │ │ │ │ │ │ │ │ │ │ │антивирусной защите - на │ │ │ │ │ │ │ │ │ │ │ │руководителей функциональных │ │ │ │ │ │ │ │ │ │ │ │подразделений организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М4 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.1 │Принято ли документально │ обязательный │ │ │ │ │ │ │ 0,0586 │ │ │ │руководством организации решение │ │ │ │ │ │ │ │ │ │ │ │об использовании сети Интернет │ │ │ │ │ │ │ │ │ │ │ │для производственной и (или) │ │ │ │ │ │ │ │ │ │ │ │собственной хозяйственной │ │ │ │ │ │ │ │ │ │ │ │деятельности, в котором явно │ │ │ │ │ │ │ │ │ │ │ │перечислены цели использования │ │ │ │ │ │ │ │ │ │ │ │сети Интернет? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.2 │Запрещается ли использование │ обязательный │ │ │ │ │ │ │ 0,0512 │ │ │ │ресурсов сети Интернет в │ │ │ │ │ │ │ │ │ │ │ │неустановленных целях? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.3 │Проведено ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0398 │ │ │ │выделение ограниченного числа │ │////│/////│/////│/////│ │ │ │ │ │ │пакетов, содержащих перечень │ │////│/////│/////│/////│ │ │ │ │ │ │сервисов и ресурсов сети │ │////│/////│/////│/////│ │ │ │ │ │ │Интернет, доступных для │ │////│/////│/////│/////│ │ │ │ │ │ │пользователей? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.4 │Проводится ли наделение │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0355 │ │ │ │работников организации правами │ │////│/////│/////│/////│ │ │ │ │ │ │пользователя конкретного пакета в │ │////│/////│/////│/////│ │ │ │ │ │ │соответствии с его должностными │ │////│/////│/////│/////│ │ │ │ │ │ │обязанностями, в частности, в │ │////│/////│/////│/////│ │ │ │ │ │ │соответствии с назначенными ему │ │////│/////│/////│/////│ │ │ │ │ │ │ролями? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.5 │Оформляется ли документально │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0398 │ │ │ │наделение работников организации │ │////│/////│/////│/////│ │ │ │ │ │ │правами пользователя конкретного │ │////│/////│/////│/////│ │ │ │ │ │ │пакета? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.6 │Определен ли документально в │ обязательный │ │ │ │ │ │ │ 0,0583 │ │ │ │организации порядок подключения и │ │ │ │ │ │ │ │ │ │ │ │использования ресурсов сети │ │ │ │ │ │ │ │ │ │ │ │Интернет, включающий в том числе │ │ │ │ │ │ │ │ │ │ │ │положение о контроле со стороны │ │ │ │ │ │ │ │ │ │ │ │подразделения (лиц) в │ │ │ │ │ │ │ │ │ │ │ │организации, ответственных за │ │ │ │ │ │ │ │ │ │ │ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.7 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0518 │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания с использованием │ │ │ │ │ │ │ │ │ │ │ │сети Интернет средства защиты │ │ │ │ │ │ │ │ │ │ │ │информации (межсетевые экраны, │ │ │ │ │ │ │ │ │ │ │ │антивирусные средства, средства │ │ │ │ │ │ │ │ │ │ │ │криптографической защиты │ │ │ │ │ │ │ │ │ │ │ │информации), которые обеспечивают │ │ │ │ │ │ │ │ │ │ │ │прием и передачу информации │ │ │ │ │ │ │ │ │ │ │ │только в установленном формате и │ │ │ │ │ │ │ │ │ │ │ │только по конкретной технологии? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.8 │Выполнено ли выделение и │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0292 │ │ │ │организована ли физическая │ │////│/////│/////│/////│ │ │ │ │ │ │изоляция от внутренних сетей тех │ │////│/////│/////│/////│ │ │ │ │ │ │ЭВМ, с помощью которых │ │////│/////│/////│/////│ │ │ │ │ │ │осуществляется взаимодействие с │ │////│/////│/////│/////│ │ │ │ │ │ │сетью Интернет в режиме on-line? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.9 │Применяются ли при осуществлении │ обязательный │ │ │ │ │ │ │ 0,0479 │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания защитные меры, │ │ │ │ │ │ │ │ │ │ │ │предотвращающие возможность │ │ │ │ │ │ │ │ │ │ │ │подмены авторизованного клиента │ │ │ │ │ │ │ │ │ │ │ │злоумышленником в рамках сеанса │ │ │ │ │ │ │ │ │ │ │ │работы? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.10 │Регистрируются ли │ обязательный │ │ │ │ │ │ │ 0,0440 │ │ │ │регламентированным образом │ │ │ │ │ │ │ │ │ │ │ │попытки подмены авторизованного │ │ │ │ │ │ │ │ │ │ │ │клиента злоумышленником в рамках │ │ │ │ │ │ │ │ │ │ │ │сеанса работы? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.11 │Все ли операции клиентов в │ обязательный │ │ │ │ │ │ │ 0,0581 │ │ │ │течение сеанса работы с системами │ │ │ │ │ │ │ │ │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания выполняются только │ │ │ │ │ │ │ │ │ │ │ │после проведения процедур │ │ │ │ │ │ │ │ │ │ │ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │ │ │авторизации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.12 │Обеспечивается ли повторное │ обязательный │ │ │ │ │ │ │ 0,0415 │ │ │ │выполнение процедур │ │ │ │ │ │ │ │ │ │ │ │идентификации, аутентификации и │ │ │ │ │ │ │ │ │ │ │ │авторизации в случаях нарушения │ │ │ │ │ │ │ │ │ │ │ │или разрыва соединения при работе │ │ │ │ │ │ │ │ │ │ │ │с системами дистанционного │ │ │ │ │ │ │ │ │ │ │ │банковского обслуживания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.13 │Используется ли │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0331 │ │ │ │специализированное клиентское │ │////│/////│/////│/////│ │ │ │ │ │ │программное обеспечение для │ │////│/////│/////│/////│ │ │ │ │ │ │доступа пользователей к системам │ │////│/////│/////│/////│ │ │ │ │ │ │дистанционного банковского │ │////│/////│/////│/////│ │ │ │ │ │ │обслуживания? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.14 │Применяются ли защитные меры для │ обязательный │ │ │ │ │ │ │ 0,0450 │ │ │ │осуществления почтового обмена │ │ │ │ │ │ │ │ │ │ │ │через сеть Интернет? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.15 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0491 │ │ │ │организации перечень защитных мер │ │ │ │ │ │ │ │ │ │ │ │и порядок их использования для │ │ │ │ │ │ │ │ │ │ │ │осуществления почтового обмена │ │ │ │ │ │ │ │ │ │ │ │через сеть Интернет? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.16 │Организован ли почтовый обмен с │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0331 │ │ │ │сетью Интернет через ограниченное │ │////│/////│/////│/////│ │ │ │ │ │ │количество точек, состоящих из │ │////│/////│/////│/////│ │ │ │ │ │ │внешнего (подключенного к сети │ │////│/////│/////│/////│ │ │ │ │ │ │Интернет) и внутреннего │ │////│/////│/////│/////│ │ │ │ │ │ │(подключенного к внутренним сетям │ │////│/////│/////│/////│ │ │ │ │ │ │организации) почтовых серверов с │ │////│/////│/////│/////│ │ │ │ │ │ │безопасной системой репликации │ │////│/////│/////│/////│ │ │ │ │ │ │почтовых сообщений между ними │ │////│/////│/////│/////│ │ │ │ │ │ │(интернет-киоски)? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.17 │Осуществляется ли архивирование │ обязательный │ │ │ │ │ │ │ 0,0368 │ │ │ │электронной почты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.18 │Доступен ли архив электронной │ обязательный │ │ │ │ │ │ │ 0,0368 │ │ │ │почты подразделению (лицу), │ │ │ │ │ │ │ │ │ │ │ │ответственному за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.19 │Не допускаются ли изменения в │ обязательный │ │ │ │ │ │ │ 0,0390 │ │ │ │архиве электронной почты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.20 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,0433 │ │ │ │порядок доступа к информации │ │ │ │ │ │ │ │ │ │ │ │архива электронной почты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.21 │Не применяется ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0436 │ │ │ │практика хранения и обработки │ │////│/////│/////│/////│ │ │ │ │ │ │банковской информации (в т.ч. │ │////│/////│/////│/////│ │ │ │ │ │ │открытой) на ЭВМ, с помощью │ │////│/////│/////│/////│ │ │ │ │ │ │которой осуществляется │ │////│/////│/////│/////│ │ │ │ │ │ │взаимодействие с сетью Интернет в │ │////│/////│/////│/////│ │ │ │ │ │ │режиме on-line? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.22 │Всегда ли наличие банковской │ обязательный │ │ │ │ │ │ │ 0,0430 │ │ │ │информации на ЭВМ, с помощью │ │ │ │ │ │ │ │ │ │ │ │которых осуществляется │ │ │ │ │ │ │ │ │ │ │ │взаимодействие с сетью Интернет в │ │ │ │ │ │ │ │ │ │ │ │режиме on-line, определяется │ │ │ │ │ │ │ │ │ │ │ │бизнес-целями организации и │ │ │ │ │ │ │ │ │ │ │ │документально санкционируется ее │ │ │ │ │ │ │ │ │ │ │ │руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М5.23 │Определены ли документально и │ обязательный │ │ │ │ │ │ │ 0,0415 │ │ │ │используются ли защитные меры, │ │ │ │ │ │ │ │ │ │ │ │позволяющие обеспечить │ │ │ │ │ │ │ │ │ │ │ │противодействие атакам хакеров и │ │ │ │ │ │ │ │ │ │ │ │распространению спама? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М5 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М6 "Обеспечение информационной
безопасности при использовании средств криптографической
защиты информации"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.1 │Проводится ли применение СКЗИ в │ обязательный │ │ │ │ │ │ │ 0,0776 │ │ │ │АБС в соответствии с моделью │ │ │ │ │ │ │ │ │ │ │ │нарушителя, принятой в │ │ │ │ │ │ │ │ │ │ │ │организации, с целью защиты │ │ │ │ │ │ │ │ │ │ │ │информации при ее обработке, │ │ │ │ │ │ │ │ │ │ │ │хранении и передаче по каналам │ │ │ │ │ │ │ │ │ │ │ │связи? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.2 │Утверждена ли политика │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0694 │ │ │ │(концепция) применения СКЗИ в │ │////│/////│/////│/////│ │ │ │ │ │ │организации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.3 │Допускают ли СКЗИ возможность │ обязательный │ │ │ │ │ │ │ 0,0691 │ │ │ │встраивания в технологическую │ │ │ │ │ │ │ │ │ │ │ │схему обработки электронных │ │ │ │ │ │ │ │ │ │ │ │сообщений? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.4 │Обеспечивают ли СКЗИ │ обязательный │ │ │ │ │ │ │ 0,0691 │ │ │ │взаимодействие с прикладным │ │ │ │ │ │ │ │ │ │ │ │программным обеспечением на │ │ │ │ │ │ │ │ │ │ │ │уровне обработки запросов на │ │ │ │ │ │ │ │ │ │ │ │криптографические преобразования │ │ │ │ │ │ │ │ │ │ │ │и выдачи результатов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.5 │Поставляются ли СКЗИ │ обязательный │ │ │ │ │ │ │ 0,0919 │ │ │ │разработчиками с полным │ │ │ │ │ │ │ │ │ │ │ │комплектом эксплуатационной │ │ │ │ │ │ │ │ │ │ │ │документации, включающей описание │ │ │ │ │ │ │ │ │ │ │ │ключевой системы, правила работы │ │ │ │ │ │ │ │ │ │ │ │с ней и обоснование необходимого │ │ │ │ │ │ │ │ │ │ │ │организационно-штатного │ │ │ │ │ │ │ │ │ │ │ │обеспечения? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.6 │Выполняется ли как минимум одна │ обязательный │ │ │ │ │ │ │ 0,0936 │ │ │ │из трех альтернатив: │ │ │ │ │ │ │ │ │ │ │ │- сертифицированы ли СКЗИ │ │ │ │ │ │ │ │ │ │ │ │уполномоченным государственным │ │ │ │ │ │ │ │ │ │ │ │органом; │ │ │ │ │ │ │ │ │ │ │ │- реализованы ли СКЗИ на основе │ │ │ │ │ │ │ │ │ │ │ │рекомендованных уполномоченным │ │ │ │ │ │ │ │ │ │ │ │государственным органом │ │ │ │ │ │ │ │ │ │ │ │алгоритмов либо алгоритмов, │ │ │ │ │ │ │ │ │ │ │ │определенных условиями договора с │ │ │ │ │ │ │ │ │ │ │ │контрагентом (клиентом) │ │ │ │ │ │ │ │ │ │ │ │организации; │ │ │ │ │ │ │ │ │ │ │ │- соответствуют ли СКЗИ │ │ │ │ │ │ │ │ │ │ │ │стандартам организации, │ │ │ │ │ │ │ │ │ │ │ │взаимодействующей с проверяемой │ │ │ │ │ │ │ │ │ │ │ │организацией? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.7 │Поддерживается ли непрерывность │ обязательный │ │ │ │ │ │ │ 0,0755 │ │ │ │процессов протоколирования работы │ │ │ │ │ │ │ │ │ │ │ │СКЗИ при применении СКЗИ в АБС? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.8 │Поддерживается ли непрерывность │ обязательный │ │ │ │ │ │ │ 0,0755 │ │ │ │процессов обеспечения целостности │ │ │ │ │ │ │ │ │ │ │ │программного обеспечения для всех │ │ │ │ │ │ │ │ │ │ │ │звеньев АБС, взаимодействующих со │ │ │ │ │ │ │ │ │ │ │ │СКЗИ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.9 │Обеспечивается ли ИБ процессов │ обязательный │ │ │ │ │ │ │ 0,0847 │ │ │ │изготовления ключевых документов │ │ │ │ │ │ │ │ │ │ │ │СКЗИ комплексом технологических, │ │ │ │ │ │ │ │ │ │ │ │организационных, технических и │ │ │ │ │ │ │ │ │ │ │ │программных мер и средств защиты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.10 │Реализованы ли процедуры │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0755 │ │ │ │мониторинга, предусматривающие │ │////│/////│/////│/////│ │ │ │ │ │ │регистрацию всех значимых │ │////│/////│/////│/////│ │ │ │ │ │ │событий, состоявшихся в процессе │ │////│/////│/////│/////│ │ │ │ │ │ │обмена электронными сообщениями, │ │////│/////│/////│/////│ │ │ │ │ │ │и всех инцидентов ИБ? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.11 │Определен ли руководством порядок │ обязательный │ │ │ │ │ │ │ 0,0745 │ │ │ │применения СКЗИ в АБС, │ │ │ │ │ │ │ │ │ │ │ │включающий: │ │ │ │ │ │ │ │ │ │ │ │- порядок ввода в действие, │ │ │ │ │ │ │ │ │ │ │ │включая процедуры встраивания │ │ │ │ │ │ │ │ │ │ │ │СКЗИ в АБС; │ │ │ │ │ │ │ │ │ │ │ │- порядок эксплуатации; │ │ │ │ │ │ │ │ │ │ │ │- порядок восстановления │ │ │ │ │ │ │ │ │ │ │ │работоспособности в аварийных │ │ │ │ │ │ │ │ │ │ │ │случаях; │ │ │ │ │ │ │ │ │ │ │ │- порядок внесения изменений; │ │ │ │ │ │ │ │ │ │ │ │- порядок снятия с эксплуатации; │ │ │ │ │ │ │ │ │ │ │ │- порядок управления ключевой │ │ │ │ │ │ │ │ │ │ │ │системой; │ │ │ │ │ │ │ │ │ │ │ │- порядок обращения с носителями │ │ │ │ │ │ │ │ │ │ │ │ключевой информации, включая │ │ │ │ │ │ │ │ │ │ │ │действия при смене и │ │ │ │ │ │ │ │ │ │ │ │компрометации ключей? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.12 │Самостоятельно ли изготавливаются │ обязательный │ │ │ │ │ │ │ 0,0663 │ │ │ │в организации и (или) физическим │ │ │ │ │ │ │ │ │ │ │ │лицом ключи ЭЦП и (или) иных СКЗИ?│ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М6.13 │Отражены ли в соответствующих │ обязательный │ │ │ │ │ │ │ 0,0773 │ │ │ │договорах правовые и │ │ │ │ │ │ │ │ │ │ │ │организационные последствия │ │ │ │ │ │ │ │ │ │ │ │изготовления ключей СКЗИ для │ │ │ │ │ │ │ │ │ │ │ │одной организации в другой │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М6 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.1 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0405 │ │ │ │организации банковский платежный │ │ │ │ │ │ │ │ │ │ │ │технологический процесс? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.2 │Определены ли документально │ обязательный │ │ │ │ │ │ │ 0,0365 │ │ │ │перечни программного обеспечения, │ │ │ │ │ │ │ │ │ │ │ │устанавливаемого и (или) │ │ │ │ │ │ │ │ │ │ │ │используемого в ЭВМ и АБС и │ │ │ │ │ │ │ │ │ │ │ │необходимого для выполнения │ │ │ │ │ │ │ │ │ │ │ │конкретных банковских платежных │ │ │ │ │ │ │ │ │ │ │ │технологических процессов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.3 │Соответствует ли состав │ обязательный │ │ │ │ │ │ │ 0,0389 │ │ │ │установленного и используемого в │ │ │ │ │ │ │ │ │ │ │ │ЭВМ и АБС программного │ │ │ │ │ │ │ │ │ │ │ │обеспечения определенному │ │ │ │ │ │ │ │ │ │ │ │перечню? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.4 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0319 │ │ │ │требований, оцениваемых в частных │ │ │ │ │ │ │ │ │ │ │ │показателях М7.2, М7.3 с │ │ │ │ │ │ │ │ │ │ │ │документированием результатов │ │ │ │ │ │ │ │ │ │ │ │контроля? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.5 │Зафиксирован ли порядок обмена │ обязательный │ │ │ │ │ │ │ 0,0451 │ │ │ │платежной информацией в договорах │ │ │ │ │ │ │ │ │ │ │ │между участниками данного обмена? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.6 │Отсутствуют ли в организации │ обязательный │ │ │ │ │ │ │ 0,0448 │ │ │ │работники, обладающие │ │ │ │ │ │ │ │ │ │ │ │полномочиями для бесконтрольного │ │ │ │ │ │ │ │ │ │ │ │создания, авторизации, │ │ │ │ │ │ │ │ │ │ │ │уничтожения и изменения платежной │ │ │ │ │ │ │ │ │ │ │ │информации, а также проведения │ │ │ │ │ │ │ │ │ │ │ │несанкционированных операций по │ │ │ │ │ │ │ │ │ │ │ │изменению состояния банковских │ │ │ │ │ │ │ │ │ │ │ │счетов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.7 │Контролируются (проверяются) ли и │ обязательный │ │ │ │ │ │ │ 0,0458 │ │ │ │удостоверяются ли результаты │ │ │ │ │ │ │ │ │ │ │ │технологических операций по │ │ │ │ │ │ │ │ │ │ │ │обработке платежной информации │ │ │ │ │ │ │ │ │ │ │ │лицами/автоматизированными │ │ │ │ │ │ │ │ │ │ │ │процессами? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.8 │Осуществляются ли обработка │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0442 │ │ │ │платежной информации и контроль │ │////│/////│/////│/////│ │ │ │ │ │ │(проверка) результатов обработки │ │////│/////│/////│/////│ │ │ │ │ │ │разными работниками/ │ │////│/////│/////│/////│ │ │ │ │ │ │автоматизированными процессами? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.9 │Возложены ли обязанности по │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0365 │ │ │ │администрированию средств защиты │ │////│/////│/////│/////│ │ │ │ │ │ │платежной информации приказами │ │////│/////│/////│/////│ │ │ │ │ │ │или распоряжениями по организации │ │////│/////│/////│/////│ │ │ │ │ │ │на администраторов ИБ с │ │////│/////│/////│/////│ │ │ │ │ │ │отражением этих обязанностей в │ │////│/////│/////│/////│ │ │ │ │ │ │должностных инструкциях? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.10 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса защиту платежной │ │ │ │ │ │ │ │ │ │ │ │информации от искажения, │ │ │ │ │ │ │ │ │ │ │ │фальсификации, переадресации, │ │ │ │ │ │ │ │ │ │ │ │несанкционированного уничтожения, │ │ │ │ │ │ │ │ │ │ │ │ложной авторизации электронных │ │ │ │ │ │ │ │ │ │ │ │платежных сообщений? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.11 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0384 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса доступ работника │ │ │ │ │ │ │ │ │ │ │ │организации только к тем ресурсам │ │ │ │ │ │ │ │ │ │ │ │банковского платежного │ │ │ │ │ │ │ │ │ │ │ │технологического процесса, │ │ │ │ │ │ │ │ │ │ │ │которые необходимы ему для │ │ │ │ │ │ │ │ │ │ │ │исполнения должностных │ │ │ │ │ │ │ │ │ │ │ │обязанностей или реализации прав, │ │ │ │ │ │ │ │ │ │ │ │предусмотренных технологией │ │ │ │ │ │ │ │ │ │ │ │обработки платежной информации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.12 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0389 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса контроль (мониторинг) │ │ │ │ │ │ │ │ │ │ │ │исполнения установленной │ │ │ │ │ │ │ │ │ │ │ │технологии подготовки, обработки, │ │ │ │ │ │ │ │ │ │ │ │передачи и хранения платежной │ │ │ │ │ │ │ │ │ │ │ │информации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.13 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0412 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса аутентификацию входящих │ │ │ │ │ │ │ │ │ │ │ │электронных платежных сообщений? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.14 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0412 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса двустороннюю │ │ │ │ │ │ │ │ │ │ │ │аутентификацию автоматизированных │ │ │ │ │ │ │ │ │ │ │ │рабочих мест (рабочих станций и │ │ │ │ │ │ │ │ │ │ │ │серверов), участников обмена │ │ │ │ │ │ │ │ │ │ │ │электронными платежными │ │ │ │ │ │ │ │ │ │ │ │сообщениями? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.15 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса возможность ввода │ │ │ │ │ │ │ │ │ │ │ │платежной информации в АБС только │ │ │ │ │ │ │ │ │ │ │ │для авторизованных пользователей? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.16 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса контроль, направленный │ │ │ │ │ │ │ │ │ │ │ │на исключение возможности │ │ │ │ │ │ │ │ │ │ │ │совершения злоумышленных действий │ │ │ │ │ │ │ │ │ │ │ │(двойной ввод, сверка, │ │ │ │ │ │ │ │ │ │ │ │установление ограничений в │ │ │ │ │ │ │ │ │ │ │ │зависимости от суммы совершения │ │ │ │ │ │ │ │ │ │ │ │операций и т.д.)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.17 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0392 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса восстановление платежной │ │ │ │ │ │ │ │ │ │ │ │информации в случае ее │ │ │ │ │ │ │ │ │ │ │ │умышленного (случайного) │ │ │ │ │ │ │ │ │ │ │ │разрушения (искажения) или выхода │ │ │ │ │ │ │ │ │ │ │ │из строя средств вычислительной │ │ │ │ │ │ │ │ │ │ │ │техники? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.18 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0436 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса при осуществлении │ │ │ │ │ │ │ │ │ │ │ │межбанковских расчетов сверку │ │ │ │ │ │ │ │ │ │ │ │выходных электронных платежных │ │ │ │ │ │ │ │ │ │ │ │сообщений с соответствующими │ │ │ │ │ │ │ │ │ │ │ │входными и обработанными │ │ │ │ │ │ │ │ │ │ │ │электронными платежными │ │ │ │ │ │ │ │ │ │ │ │сообщениями? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.19 │Предусматривает ли комплекс мер │ обязательный │ │ │ │ │ │ │ 0,0408 │ │ │ │по обеспечению ИБ банковского │ │ │ │ │ │ │ │ │ │ │ │платежного технологического │ │ │ │ │ │ │ │ │ │ │ │процесса доставку электронных │ │ │ │ │ │ │ │ │ │ │ │платежных сообщений участникам │ │ │ │ │ │ │ │ │ │ │ │обмена? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.20 │Организован ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0364 │ │ │ │авторизованный ввод платежной │ │////│/////│/////│/////│ │ │ │ │ │ │информации в АБС двумя │ │////│/////│/////│/////│ │ │ │ │ │ │работниками с последующей │ │////│/////│/////│/////│ │ │ │ │ │ │программной сверкой результатов │ │////│/////│/////│/////│ │ │ │ │ │ │ввода на совпадение (принцип │ │////│/////│/////│/////│ │ │ │ │ │ │"двойного управления")? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.21 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0337 │ │ │ │организации и выполняются ли при │ │ │ │ │ │ │ │ │ │ │ │проектировании, разработке, │ │ │ │ │ │ │ │ │ │ │ │эксплуатации систем │ │ │ │ │ │ │ │ │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания процедуры, │ │ │ │ │ │ │ │ │ │ │ │реализующие механизмы: │ │ │ │ │ │ │ │ │ │ │ │- снижения вероятности выполнения │ │ │ │ │ │ │ │ │ │ │ │непреднамеренных или случайных │ │ │ │ │ │ │ │ │ │ │ │операций или транзакций │ │ │ │ │ │ │ │ │ │ │ │авторизованными клиентами; │ │ │ │ │ │ │ │ │ │ │ │- доведения информации о возможных│ │ │ │ │ │ │ │ │ │ │ │рисках, связанных с выполнением │ │ │ │ │ │ │ │ │ │ │ │операций или транзакций до │ │ │ │ │ │ │ │ │ │ │ │клиентов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.22 │Обеспечены ли клиенты систем │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │ │дистанционного банковского │ │ │ │ │ │ │ │ │ │ │ │обслуживания детальными │ │ │ │ │ │ │ │ │ │ │ │инструкциями, описывающими │ │ │ │ │ │ │ │ │ │ │ │процедуры выполнения операций или │ │ │ │ │ │ │ │ │ │ │ │транзакций? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.23 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0368 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры обслуживания средств │ │ │ │ │ │ │ │ │ │ │ │вычислительной техники, │ │ │ │ │ │ │ │ │ │ │ │используемых в банковском │ │ │ │ │ │ │ │ │ │ │ │платежном технологическом │ │ │ │ │ │ │ │ │ │ │ │процессе, включая замену их │ │ │ │ │ │ │ │ │ │ │ │программных и (или) аппаратных │ │ │ │ │ │ │ │ │ │ │ │частей? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.24 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0392 │ │ │ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │ │ │службой либо лицом, отвечающим в │ │ │ │ │ │ │ │ │ │ │ │организации за обеспечение ИБ, и │ │ │ │ │ │ │ │ │ │ │ │выполняется ли процедура │ │ │ │ │ │ │ │ │ │ │ │периодического контроля всех │ │ │ │ │ │ │ │ │ │ │ │реализованных программно- │ │ │ │ │ │ │ │ │ │ │ │техническими средствами функций │ │ │ │ │ │ │ │ │ │ │ │(требований) по обеспечению ИБ │ │ │ │ │ │ │ │ │ │ │ │платежной информации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М7.25 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0392 │ │ │ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │ │ │службой либо лицом, отвечающим в │ │ │ │ │ │ │ │ │ │ │ │организации за обеспечение ИБ, и │ │ │ │ │ │ │ │ │ │ │ │выполняется ли процедура │ │ │ │ │ │ │ │ │ │ │ │восстановления всех реализованных │ │ │ │ │ │ │ │ │ │ │ │программно-техническими │ │ │ │ │ │ │ │ │ │ │ │средствами функций по обеспечению │ │ │ │ │ │ │ │ │ │ │ │ИБ платежной информации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М7 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.1 │Проведена ли в организации │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0852 │ │ │ │классификация неплатежной │ │////│/////│/////│/////│ │ │ │ │ │ │информации? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.2 │Проводится ли классификация │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0779 │ │ │ │неплатежной информации в │ │////│/////│/////│/////│ │ │ │ │ │ │соответствии со степенью тяжести │ │////│/////│/////│/////│ │ │ │ │ │ │последствий потери ее свойств ИБ, │ │////│/////│/////│/////│ │ │ │ │ │ │в частности свойств доступности, │ │////│/////│/////│/////│ │ │ │ │ │ │целостности и конфиденциальности? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.3 │Определен ли документально набор │ обязательный │ │ │ │ │ │ │ 0,0970 │ │ │ │требований по защите каждого из │ │ │ │ │ │ │ │ │ │ │ │типов неплатежных информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов неплатежной │ │ │ │ │ │ │ │ │ │ │ │информации), полученных в │ │ │ │ │ │ │ │ │ │ │ │результате классификации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.4 │Возложены ли обязанности по │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0814 │ │ │ │администрированию средств защиты │ │////│/////│/////│/////│ │ │ │ │ │ │неплатежной информации приказами │ │////│/////│/////│/////│ │ │ │ │ │ │или распоряжениями по организации │ │////│/////│/////│/////│ │ │ │ │ │ │на администраторов ИБ с │ │////│/////│/////│/////│ │ │ │ │ │ │отражением этих обязанностей в │ │////│/////│/////│/////│ │ │ │ │ │ │должностных инструкциях? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.5 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,0777 │ │ │ │порядок контроля функционирования │ │ │ │ │ │ │ │ │ │ │ │со стороны лиц, отвечающих за ИБ, │ │ │ │ │ │ │ │ │ │ │ │для каждой АБС организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.6 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0740 │ │ │ │организации банковские │ │ │ │ │ │ │ │ │ │ │ │информационные технологические │ │ │ │ │ │ │ │ │ │ │ │процессы, согласованы ли эти │ │ │ │ │ │ │ │ │ │ │ │документы со службой ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.7 │Реализованы ли банковские │ обязательный │ │ │ │ │ │ │ 0,0639 │ │ │ │информационные технологические │ │ │ │ │ │ │ │ │ │ │ │процессы в рамках созданных для │ │ │ │ │ │ │ │ │ │ │ │этих целей АБС? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.8 │Изолированы ли серверы, офисные │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0758 │ │ │ │ЭВМ и другое оборудование, не │ │////│/////│/////│/////│ │ │ │ │ │ │входящее в состав АБС, │ │////│/////│/////│/////│ │ │ │ │ │ │реализующих банковские │ │////│/////│/////│/////│ │ │ │ │ │ │информационные технологические │ │////│/////│/////│/////│ │ │ │ │ │ │процессы, от указанных АБС на │ │////│/////│/////│/////│ │ │ │ │ │ │уровне локальных вычислительных │ │////│/////│/////│/////│ │ │ │ │ │ │сетей способом, согласованным со │ │////│/////│/////│/////│ │ │ │ │ │ │службой либо лицом, отвечающим в │ │////│/////│/////│/////│ │ │ │ │ │ │организации за ИБ? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.9 │Определены ли документально │ обязательный │ │ │ │ │ │ │ 0,0646 │ │ │ │перечни программного обеспечения, │ │ │ │ │ │ │ │ │ │ │ │устанавливаемого и (или) │ │ │ │ │ │ │ │ │ │ │ │используемого в ЭВМ и АБС и │ │ │ │ │ │ │ │ │ │ │ │необходимого для выполнения │ │ │ │ │ │ │ │ │ │ │ │конкретных банковских │ │ │ │ │ │ │ │ │ │ │ │информационных технологических │ │ │ │ │ │ │ │ │ │ │ │процессов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.10 │Соответствует ли состав │ обязательный │ │ │ │ │ │ │ 0,0646 │ │ │ │установленного и используемого в │ │ │ │ │ │ │ │ │ │ │ │ЭВМ и АБС программного │ │ │ │ │ │ │ │ │ │ │ │обеспечения определенному │ │ │ │ │ │ │ │ │ │ │ │перечню? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.11 │Контролируется ли выполнение │ обязательный │ │ │ │ │ │ │ 0,0676 │ │ │ │требований частных показателей │ │ │ │ │ │ │ │ │ │ │ │М8.9, М8.10 с документированием │ │ │ │ │ │ │ │ │ │ │ │результатов контроля? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.12 │Регламентирована ли в документах │ обязательный │ │ │ │ │ │ │ 0,0889 │ │ │ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │ │ │службой ИБ либо лицом, отвечающим │ │ │ │ │ │ │ │ │ │ │ │за обеспечение ИБ, и выполняется │ │ │ │ │ │ │ │ │ │ │ │ли процедура периодического │ │ │ │ │ │ │ │ │ │ │ │контроля всех реализованных │ │ │ │ │ │ │ │ │ │ │ │программно-техническими │ │ │ │ │ │ │ │ │ │ │ │средствами и организационными │ │ │ │ │ │ │ │ │ │ │ │мерами функций (требований) по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ неплатежной │ │ │ │ │ │ │ │ │ │ │ │информации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М8.13 │Регламентирована ли в документах │ обязательный │ │ │ │ │ │ │ 0,0814 │ │ │ │организации, согласована ли со │ │ │ │ │ │ │ │ │ │ │ │службой ИБ либо лицом, отвечающим │ │ │ │ │ │ │ │ │ │ │ │за обеспечение ИБ, и выполняется │ │ │ │ │ │ │ │ │ │ │ │ли процедура восстановления всех │ │ │ │ │ │ │ │ │ │ │ │реализованных программно- │ │ │ │ │ │ │ │ │ │ │ │техническими средствами и │ │ │ │ │ │ │ │ │ │ │ │организационными мерами функций │ │ │ │ │ │ │ │ │ │ │ │по обеспечению ИБ неплатежной │ │ │ │ │ │ │ │ │ │ │ │информации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М8 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М9 "Организация и функционирование
службы ИБ организации БС РФ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.1 │Сформирована ли руководством │ обязательный │ │ │ │ │ │ │ 0,0816 │ │ │ │служба ИБ (назначено ли │ │ │ │ │ │ │ │ │ │ │ │уполномоченное лицо) для │ │ │ │ │ │ │ │ │ │ │ │реализации, эксплуатации, │ │ │ │ │ │ │ │ │ │ │ │контроля и поддержания на должном │ │ │ │ │ │ │ │ │ │ │ │уровне СОИБ, утверждены ли цели и │ │ │ │ │ │ │ │ │ │ │ │задачи ее деятельности? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.2 │Имеет ли служба ИБ утвержденные │ обязательный │ │ │ │ │ │ │ 0,0753 │ │ │ │руководством полномочия и │ │ │ │ │ │ │ │ │ │ │ │ресурсы, необходимые для │ │ │ │ │ │ │ │ │ │ │ │выполнения установленных целей и │ │ │ │ │ │ │ │ │ │ │ │задач? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.3 │Имеет ли служба ИБ назначенного │ обязательный │ │ │ │ │ │ │ 0,0750 │ │ │ │из числа руководства куратора, │ │ │ │ │ │ │ │ │ │ │ │который при этом не является │ │ │ │ │ │ │ │ │ │ │ │куратором службы информатизации │ │ │ │ │ │ │ │ │ │ │ │(автоматизации)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.4 │Наделена ли служба ИБ собственным │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0530 │ │ │ │бюджетом? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.5 │Сформированы ли для организаций, │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0615 │ │ │ │имеющих сеть филиалов или │ │////│/////│/////│/////│ │ │ │ │ │ │региональных представительств, │ │////│/////│/////│/////│ │ │ │ │ │ │подразделения ИБ (уполномоченные │ │////│/////│/////│/////│ │ │ │ │ │ │лица) на местах и обеспечены ли │ │////│/////│/////│/////│ │ │ │ │ │ │эти подразделения необходимыми │ │////│/////│/////│/////│ │ │ │ │ │ │ресурсами и нормативной базой? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.6 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0694 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями организовывать │ │ │ │ │ │ │ │ │ │ │ │составление и контролировать │ │ │ │ │ │ │ │ │ │ │ │выполнение всех планов по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.7 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями разрабатывать и │ │ │ │ │ │ │ │ │ │ │ │вносить предложения по изменению │ │ │ │ │ │ │ │ │ │ │ │политик ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.8 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями организовывать │ │ │ │ │ │ │ │ │ │ │ │изменения существующих и принятие │ │ │ │ │ │ │ │ │ │ │ │руководством новых внутренних │ │ │ │ │ │ │ │ │ │ │ │документов, регламентирующих │ │ │ │ │ │ │ │ │ │ │ │деятельность по обеспечению ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.9 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0781 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями определять │ │ │ │ │ │ │ │ │ │ │ │требования к мерам обеспечения ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.10 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями контролировать │ │ │ │ │ │ │ │ │ │ │ │работников организации в части │ │ │ │ │ │ │ │ │ │ │ │выполнения ими требований │ │ │ │ │ │ │ │ │ │ │ │внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность в │ │ │ │ │ │ │ │ │ │ │ │области обеспечения ИБ, в первую │ │ │ │ │ │ │ │ │ │ │ │очередь работников, имеющих │ │ │ │ │ │ │ │ │ │ │ │максимальные полномочия по │ │ │ │ │ │ │ │ │ │ │ │доступу к защищаемым │ │ │ │ │ │ │ │ │ │ │ │информационным активам? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.11 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями осуществлять │ │ │ │ │ │ │ │ │ │ │ │мониторинг событий, связанных с │ │ │ │ │ │ │ │ │ │ │ │обеспечением ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.12 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0787 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями участвовать в │ │ │ │ │ │ │ │ │ │ │ │расследовании событий, связанных │ │ │ │ │ │ │ │ │ │ │ │с инцидентами ИБ, и выходить в │ │ │ │ │ │ │ │ │ │ │ │случае необходимости с │ │ │ │ │ │ │ │ │ │ │ │предложениями по применению │ │ │ │ │ │ │ │ │ │ │ │санкций в отношении лиц, │ │ │ │ │ │ │ │ │ │ │ │осуществивших НСД и НРД │ │ │ │ │ │ │ │ │ │ │ │(например, нарушивших требования │ │ │ │ │ │ │ │ │ │ │ │инструкций, руководств по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.13 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0587 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями участвовать в │ │ │ │ │ │ │ │ │ │ │ │действиях по восстановлению │ │ │ │ │ │ │ │ │ │ │ │работоспособности АБС после сбоев │ │ │ │ │ │ │ │ │ │ │ │и аварий? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М9.14 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0787 │ │ │ │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями участвовать в │ │ │ │ │ │ │ │ │ │ │ │создании, поддержании, │ │ │ │ │ │ │ │ │ │ │ │эксплуатации и совершенствовании │ │ │ │ │ │ │ │ │ │ │ │СОИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М9 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М10 "Определение/коррекция области
действия СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.1 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,1956 │ │ │ │организации и корректируется ли │ │ │ │ │ │ │ │ │ │ │ │опись структурированных по │ │ │ │ │ │ │ │ │ │ │ │классам защищаемых информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов - типов информации)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.2 │Проводится ли классификация │ рекомендуемый │////│/////│/////│/////│ │ │ 0,1614 │ │ │ │информационных активов по типам │ │////│/////│/////│/////│ │ │ │ │ │ │на основании оценок ценности │ │////│/////│/////│/////│ │ │ │ │ │ │информационных активов для │ │////│/////│/////│/////│ │ │ │ │ │ │интересов (целей) организации, │ │////│/////│/////│/////│ │ │ │ │ │ │например, в соответствии с │ │////│/////│/////│/////│ │ │ │ │ │ │тяжестью последствий потери │ │////│/////│/////│/////│ │ │ │ │ │ │свойств ИБ информационных │ │////│/////│/////│/////│ │ │ │ │ │ │активов? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.3 │Содержит ли опись информационных │ обязательный │ │ │ │ │ │ │ 0,1352 │ │ │ │активов информацию о │ │ │ │ │ │ │ │ │ │ │ │принадлежности конкретного │ │ │ │ │ │ │ │ │ │ │ │информационного актива к │ │ │ │ │ │ │ │ │ │ │ │выделенным типам информационных │ │ │ │ │ │ │ │ │ │ │ │активов (в случае наличия в │ │ │ │ │ │ │ │ │ │ │ │организации классификации │ │ │ │ │ │ │ │ │ │ │ │информационных активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.4 │Содержит ли опись информационных │ обязательный │ │ │ │ │ │ │ 0,1098 │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов) перечень их объектов │ │ │ │ │ │ │ │ │ │ │ │среды, покрывающий все уровни │ │ │ │ │ │ │ │ │ │ │ │информационной инфраструктуры │ │ │ │ │ │ │ │ │ │ │ │организации, определенной в │ │ │ │ │ │ │ │ │ │ │ │разделе 6 стандарта СТО БР ИББС- │ │ │ │ │ │ │ │ │ │ │ │1.0? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1276 │ │ │ │организации процедуры анализа и │ │ │ │ │ │ │ │ │ │ │ │пересмотра области действия СОИБ │ │ │ │ │ │ │ │ │ │ │ │(в частности, процедуры │ │ │ │ │ │ │ │ │ │ │ │пересмотра при изменении перечня │ │ │ │ │ │ │ │ │ │ │ │информационных активов │ │ │ │ │ │ │ │ │ │ │ │организации или типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.6 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1352 │ │ │ │организации роли по │ │ │ │ │ │ │ │ │ │ │ │определению/коррекции области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │ │ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М10.7 │Назначены ли в организации │ обязательный │ │ │ │ │ │ │ 0,1352 │ │ │ │ответственные за выполнение ролей │ │ │ │ │ │ │ │ │ │ │ │по определению/коррекции области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │ │ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М10 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М11 "Выбор/коррекция подхода
к оценке рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.1 │Принята ли в организации и │ обязательный │ │ │ │ │ │ │ 0,1154 │ │ │ │корректируется ли методика оценки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ/подход к │ │ │ │ │ │ │ │ │ │ │ │оценке рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.2 │Определены ли в организации │ обязательный │ │ │ │ │ │ │ 0,1070 │ │ │ │критерии принятия рисков │ │ │ │ │ │ │ │ │ │ │ │нарушения ИБ и уровень │ │ │ │ │ │ │ │ │ │ │ │допустимого риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.3 │Определяет ли методика оценки │ обязательный │ │ │ │ │ │ │ 0,0854 │ │ │ │рисков нарушения ИБ/подход к │ │ │ │ │ │ │ │ │ │ │ │оценке рисков нарушения ИБ │ │ │ │ │ │ │ │ │ │ │ │организации способ и порядок │ │ │ │ │ │ │ │ │ │ │ │качественного или количественного │ │ │ │ │ │ │ │ │ │ │ │оценивания риска нарушения ИБ на │ │ │ │ │ │ │ │ │ │ │ │основании оценивания: │ │ │ │ │ │ │ │ │ │ │ │- степени возможности реализации │ │ │ │ │ │ │ │ │ │ │ │угроз ИБ выявленными и (или) │ │ │ │ │ │ │ │ │ │ │ │предполагаемыми источниками угроз │ │ │ │ │ │ │ │ │ │ │ │ИБ, зафиксированных в моделях │ │ │ │ │ │ │ │ │ │ │ │угроз и нарушителей, в результате │ │ │ │ │ │ │ │ │ │ │ │их воздействия на объекты среды │ │ │ │ │ │ │ │ │ │ │ │информационных активов │ │ │ │ │ │ │ │ │ │ │ │организации (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов); │ │ │ │ │ │ │ │ │ │ │ │- степени тяжести последствий от │ │ │ │ │ │ │ │ │ │ │ │потери свойств ИБ, в частности │ │ │ │ │ │ │ │ │ │ │ │свойств доступности, целостности │ │ │ │ │ │ │ │ │ │ │ │и конфиденциальности для │ │ │ │ │ │ │ │ │ │ │ │рассматриваемых информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.4 │Определяет ли порядок оценки │ обязательный │ │ │ │ │ │ │ 0,0854 │ │ │ │рисков нарушения ИБ необходимые │ │ │ │ │ │ │ │ │ │ │ │процедуры оценки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ, а также последовательность их │ │ │ │ │ │ │ │ │ │ │ │выполнения? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.5 │Проводится ли оценка рисков │ обязательный │ │ │ │ │ │ │ 0,0676 │ │ │ │нарушения ИБ для свойств ИБ всех │ │ │ │ │ │ │ │ │ │ │ │информационных активов (типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов) области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.6 │Создан ли и поддерживается ли в │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0688 │ │ │ │актуальном состоянии единый │ │////│/////│/////│/////│ │ │ │ │ │ │информационный ресурс (база │ │////│/////│/////│/////│ │ │ │ │ │ │данных), содержащий информацию об │ │////│/////│/////│/////│ │ │ │ │ │ │инцидентах ИБ? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.7 │Соотносятся ли величины рисков, │ обязательный │ │ │ │ │ │ │ 0,0766 │ │ │ │полученные в результате │ │ │ │ │ │ │ │ │ │ │ │оценивания рисков нарушения ИБ, с │ │ │ │ │ │ │ │ │ │ │ │уровнем допустимого риска, │ │ │ │ │ │ │ │ │ │ │ │принятого в организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.8 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0766 │ │ │ │организации перечень недопустимых │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ, │ │ │ │ │ │ │ │ │ │ │ │сформированный на основе │ │ │ │ │ │ │ │ │ │ │ │сравнения полученных в результате │ │ │ │ │ │ │ │ │ │ │ │оценивания рисков нарушения ИБ │ │ │ │ │ │ │ │ │ │ │ │величин рисков с уровнем │ │ │ │ │ │ │ │ │ │ │ │допустимого риска, принятого в │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0782 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │деятельностью по │ │ │ │ │ │ │ │ │ │ │ │определению/коррекции методики │ │ │ │ │ │ │ │ │ │ │ │оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │ │ │подхода к оценке риска нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0782 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │деятельностью по │ │ │ │ │ │ │ │ │ │ │ │определению/коррекции методики │ │ │ │ │ │ │ │ │ │ │ │оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │ │ │подхода к оценке риска нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0782 │ │ │ │организации роли по оценке рисков │ │ │ │ │ │ │ │ │ │ │ │нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М11.12 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0826 │ │ │ │выполнение ролей по оценке рисков │ │ │ │ │ │ │ │ │ │ │ │нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М11 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М12 "Разработка планов обработки
рисков нарушения ИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М12.1 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,1814 │ │ │ │организации по каждому из │ │ │ │ │ │ │ │ │ │ │ │недопустимых рисков нарушения ИБ │ │ │ │ │ │ │ │ │ │ │ │план, определяющий один из │ │ │ │ │ │ │ │ │ │ │ │возможных способов обработки │ │ │ │ │ │ │ │ │ │ │ │риска: │ │ │ │ │ │ │ │ │ │ │ │- перенос риска на сторонние │ │ │ │ │ │ │ │ │ │ │ │организации (например, путем │ │ │ │ │ │ │ │ │ │ │ │страхования указанного риска); │ │ │ │ │ │ │ │ │ │ │ │- уход от риска (например, путем │ │ │ │ │ │ │ │ │ │ │ │отказа от деятельности, │ │ │ │ │ │ │ │ │ │ │ │выполнение которой приводит к │ │ │ │ │ │ │ │ │ │ │ │появлению риска); │ │ │ │ │ │ │ │ │ │ │ │- осознанное принятие риска; │ │ │ │ │ │ │ │ │ │ │ │- формирование требований ИБ, │ │ │ │ │ │ │ │ │ │ │ │снижающих риск до допустимого │ │ │ │ │ │ │ │ │ │ │ │уровня, и формирование планов по │ │ │ │ │ │ │ │ │ │ │ │их реализации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М12.2 │Согласованы ли планы обработки │ обязательный │ │ │ │ │ │ │ 0,1814 │ │ │ │рисков нарушения ИБ с │ │ │ │ │ │ │ │ │ │ │ │руководителем службы ИБ либо │ │ │ │ │ │ │ │ │ │ │ │лицом, отвечающим в организации │ │ │ │ │ │ │ │ │ │ │ │за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М12.3 │Утверждены ли руководством │ обязательный │ │ │ │ │ │ │ 0,1814 │ │ │ │организации планы обработки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М12.4 │Содержат ли планы реализации │ обязательный │ │ │ │ │ │ │ 0,1702 │ │ │ │требований ИБ последовательность │ │ │ │ │ │ │ │ │ │ │ │и сроки реализации и внедрения │ │ │ │ │ │ │ │ │ │ │ │организационных, технических и │ │ │ │ │ │ │ │ │ │ │ │иных защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М12.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1428 │ │ │ │организации роли по разработке │ │ │ │ │ │ │ │ │ │ │ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М12.6 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1428 │ │ │ │выполнение ролей по разработке │ │ │ │ │ │ │ │ │ │ │ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М12 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М13 "Определение/коррекция
внутренних документов, регламентирующих деятельность
в области обеспечения ИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.1 │Проводится ли разработка и │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0406 │ │ │ │коррекция внутренних документов, │ │////│/////│/////│/////│ │ │ │ │ │ │регламентирующих деятельность в │ │////│/////│/////│/////│ │ │ │ │ │ │области обеспечения ИБ в │ │////│/////│/////│/////│ │ │ │ │ │ │организации, с учетом │ │////│/////│/////│/////│ │ │ │ │ │ │рекомендаций по стандартизации │ │////│/////│/////│/////│ │ │ │ │ │ │Банка России РС БР ИББС-2.0 │ │////│/////│/////│/////│ │ │ │ │ │ │"Обеспечение информационной │ │////│/////│/////│/////│ │ │ │ │ │ │безопасности организаций │ │////│/////│/////│/////│ │ │ │ │ │ │банковской системы Российской │ │////│/////│/////│/////│ │ │ │ │ │ │Федерации. Методические │ │////│/////│/////│/////│ │ │ │ │ │ │рекомендации по документации в │ │////│/////│/////│/////│ │ │ │ │ │ │области обеспечения │ │////│/////│/////│/////│ │ │ │ │ │ │информационной безопасности в │ │////│/////│/////│/////│ │ │ │ │ │ │соответствии с требованиями СТО │ │////│/////│/////│/////│ │ │ │ │ │ │БР ИББС-1.0"? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.2 │Разработана ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0628 │ │ │ │организации? Утверждена ли │ │ │ │ │ │ │ │ │ │ │ │политика ИБ руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.3 │Корректируется ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0557 │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.4 │Разработаны ли частные политики │ обязательный │ │ │ │ │ │ │ 0,0580 │ │ │ │ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.5 │Корректируются ли частные │ обязательный │ │ │ │ │ │ │ 0,0557 │ │ │ │политики ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.6 │Разработаны ли в организации │ обязательный │ │ │ │ │ │ │ 0,0510 │ │ │ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ │процедуры выполнения отдельных │ │ │ │ │ │ │ │ │ │ │ │видов деятельности, связанных с │ │ │ │ │ │ │ │ │ │ │ │обеспечением ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.7 │Корректируются ли в организации │ обязательный │ │ │ │ │ │ │ 0,0489 │ │ │ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ │процедуры выполнения отдельных │ │ │ │ │ │ │ │ │ │ │ │видов деятельности, связанных с │ │ │ │ │ │ │ │ │ │ │ │обеспечением ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.8 │Определены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0407 │ │ │ │перечень и формы документов, │ │ │ │ │ │ │ │ │ │ │ │являющихся свидетельством │ │ │ │ │ │ │ │ │ │ │ │выполнения деятельности по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.9 │Определены ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0510 │ │ │ │(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │ │ │организации: │ │ │ │ │ │ │ │ │ │ │ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные области обеспечения │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │ │ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │ │ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные требования к │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы противодействия │ │ │ │ │ │ │ │ │ │ │ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │ │ │основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │ │ │уровня осознания и │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │ │ │выполнения требований политики │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.10 │Корректируются ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0486 │ │ │ │(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │ │ │организации: │ │ │ │ │ │ │ │ │ │ │ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные области обеспечения ИБ;│ │ │ │ │ │ │ │ │ │ │ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │ │ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │ │ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные требования к │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы противодействия │ │ │ │ │ │ │ │ │ │ │ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │ │ │основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │ │ │уровня осознания и │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │ │ │выполнения требований политики │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.11 │Разрабатываются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0519 │ │ │ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ │деятельность в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │ │ │- законодательства Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации; │ │ │ │ │ │ │ │ │ │ │ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │ │ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │ │ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │ │ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │ │ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │ │ │- договорных требований │ │ │ │ │ │ │ │ │ │ │ │организации со сторонними │ │ │ │ │ │ │ │ │ │ │ │организациями; │ │ │ │ │ │ │ │ │ │ │ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │ │ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │ │ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │ │ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов (типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.12 │Корректируются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0510 │ │ │ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ │деятельность в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │ │ │- законодательства Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации; │ │ │ │ │ │ │ │ │ │ │ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │ │ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │ │ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │ │ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │ │ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │ │ │- договорных требований │ │ │ │ │ │ │ │ │ │ │ │организации со сторонними │ │ │ │ │ │ │ │ │ │ │ │организациями; │ │ │ │ │ │ │ │ │ │ │ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │ │ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │ │ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │ │ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов (типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.13 │Содержит ли совокупность │ обязательный │ │ │ │ │ │ │ 0,0501 │ │ │ │внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность в │ │ │ │ │ │ │ │ │ │ │ │области обеспечения ИБ, │ │ │ │ │ │ │ │ │ │ │ │требования по обеспечению ИБ всех │ │ │ │ │ │ │ │ │ │ │ │выявленных информационных активов │ │ │ │ │ │ │ │ │ │ │ │(типов информационных активов), │ │ │ │ │ │ │ │ │ │ │ │находящихся в области действия │ │ │ │ │ │ │ │ │ │ │ │СОИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.14 │Не противоречат ли документы, │ обязательный │ │ │ │ │ │ │ 0,0510 │ │ │ │регламентирующие процедуры │ │ │ │ │ │ │ │ │ │ │ │выполнения отдельных видов │ │ │ │ │ │ │ │ │ │ │ │деятельности, связанных с │ │ │ │ │ │ │ │ │ │ │ │обеспечением ИБ, положениям │ │ │ │ │ │ │ │ │ │ │ │политики ИБ и частных политик ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.15 │Детализируют ли документы, │ обязательный │ │ │ │ │ │ │ 0,0426 │ │ │ │регламентирующие процедуры │ │ │ │ │ │ │ │ │ │ │ │выполнения отдельных видов │ │ │ │ │ │ │ │ │ │ │ │деятельности, связанных с │ │ │ │ │ │ │ │ │ │ │ │обеспечением ИБ, положения │ │ │ │ │ │ │ │ │ │ │ │политики ИБ и частных политик ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.16 │Утвержден ли руководством │ обязательный │ │ │ │ │ │ │ 0,0354 │ │ │ │организации порядок │ │ │ │ │ │ │ │ │ │ │ │взаимодействия (координирования │ │ │ │ │ │ │ │ │ │ │ │работы) службы ИБ с работниками, │ │ │ │ │ │ │ │ │ │ │ │ответственными за обеспечение ИБ │ │ │ │ │ │ │ │ │ │ │ │в структурных подразделениях │ │ │ │ │ │ │ │ │ │ │ │организации (в случае наличия в │ │ │ │ │ │ │ │ │ │ │ │структурных подразделениях │ │ │ │ │ │ │ │ │ │ │ │организации работников, │ │ │ │ │ │ │ │ │ │ │ │ответственных за обеспечение ИБ)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.17 │Определены ли в составе │ обязательный │ │ │ │ │ │ │ 0,0426 │ │ │ │документов, регламентирующих │ │ │ │ │ │ │ │ │ │ │ │деятельность в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ, перечень │ │ │ │ │ │ │ │ │ │ │ │свидетельств выполнения указанной │ │ │ │ │ │ │ │ │ │ │ │деятельности и ответственность │ │ │ │ │ │ │ │ │ │ │ │работников организации за │ │ │ │ │ │ │ │ │ │ │ │выполнение этой деятельности? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.18 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0443 │ │ │ │организации процедуры выделения и │ │ │ │ │ │ │ │ │ │ │ │распределения ролей в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.19 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0406 │ │ │ │организации порядок разработки, │ │ │ │ │ │ │ │ │ │ │ │поддержки, пересмотра и контроля │ │ │ │ │ │ │ │ │ │ │ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.20 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0382 │ │ │ │организации роли по разработке, │ │ │ │ │ │ │ │ │ │ │ │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │ │ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М13.21 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0393 │ │ │ │выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │ │ │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │ │ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М13 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М14 "Принятие руководством организации
БС РФ решений о реализации и эксплуатации СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М14.1 │Оформлены ли документально и │ обязательный │ │ │ │ │ │ │ 0,2752 │ │ │ │утверждены ли руководством │ │ │ │ │ │ │ │ │ │ │ │решения о реализации и │ │ │ │ │ │ │ │ │ │ │ │эксплуатации СОИБ, в частности │ │ │ │ │ │ │ │ │ │ │ │решения: │ │ │ │ │ │ │ │ │ │ │ │- об анализе и принятии │ │ │ │ │ │ │ │ │ │ │ │остаточных рисков нарушения ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о планировании этапов внедрения │ │ │ │ │ │ │ │ │ │ │ │СОИБ, в частности требований ИБ, │ │ │ │ │ │ │ │ │ │ │ │изложенных в 7-м и 8-м разделах │ │ │ │ │ │ │ │ │ │ │ │СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │ │ │- о распределении ролей в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ организации; │ │ │ │ │ │ │ │ │ │ │ │- о принятии со стороны │ │ │ │ │ │ │ │ │ │ │ │руководства планов внедрения │ │ │ │ │ │ │ │ │ │ │ │защитных мер, направленных на │ │ │ │ │ │ │ │ │ │ │ │реализацию требований 7-го и 8-го │ │ │ │ │ │ │ │ │ │ │ │разделов СТО БР ИББС-1.0 и │ │ │ │ │ │ │ │ │ │ │ │снижение рисков ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о выделении ресурсов, │ │ │ │ │ │ │ │ │ │ │ │необходимых для реализации и │ │ │ │ │ │ │ │ │ │ │ │эксплуатации функционирования │ │ │ │ │ │ │ │ │ │ │ │СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М14.2 │Утверждены ли руководством все │ обязательный │ │ │ │ │ │ │ 0,2812 │ │ │ │планы внедрения СОИБ, в частности │ │ │ │ │ │ │ │ │ │ │ │планы реализаций требований 7-го │ │ │ │ │ │ │ │ │ │ │ │и 8-го разделов СТО БР ИББС-1.0, │ │ │ │ │ │ │ │ │ │ │ │планы обработки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ и внедрения защитных мер, в │ │ │ │ │ │ │ │ │ │ │ │которых документально │ │ │ │ │ │ │ │ │ │ │ │зафиксированы: │ │ │ │ │ │ │ │ │ │ │ │- последовательность выполнения │ │ │ │ │ │ │ │ │ │ │ │мероприятий в рамках указанных │ │ │ │ │ │ │ │ │ │ │ │планов; │ │ │ │ │ │ │ │ │ │ │ │- сроки начала и окончания │ │ │ │ │ │ │ │ │ │ │ │запланированных мероприятий; │ │ │ │ │ │ │ │ │ │ │ │- должностные лица │ │ │ │ │ │ │ │ │ │ │ │(подразделения), ответственные за │ │ │ │ │ │ │ │ │ │ │ │выполнение каждого указанного │ │ │ │ │ │ │ │ │ │ │ │мероприятия? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М14.3 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,2096 │ │ │ │порядок разработки, пересмотра и │ │ │ │ │ │ │ │ │ │ │ │контроля исполнения планов по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М14.4 │Оформлены ли документально │ обязательный │ │ │ │ │ │ │ 0,2340 │ │ │ │решения руководства, связанные с │ │ │ │ │ │ │ │ │ │ │ │назначением и распределением │ │ │ │ │ │ │ │ │ │ │ │ролей для всех структурных │ │ │ │ │ │ │ │ │ │ │ │подразделений в соответствии с │ │ │ │ │ │ │ │ │ │ │ │положениями внутренних │ │ │ │ │ │ │ │ │ │ │ │документов, регламентирующих │ │ │ │ │ │ │ │ │ │ │ │деятельность по обеспечению ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М14 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М15 "Организация реализации планов
внедрения СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М15.1 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,2540 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │проектирование/приобретение/ │ │ │ │ │ │ │ │ │ │ │ │развертывание, внедрение, │ │ │ │ │ │ │ │ │ │ │ │эксплуатация, контроль и │ │ │ │ │ │ │ │ │ │ │ │сопровождение эксплуатации │ │ │ │ │ │ │ │ │ │ │ │защитных мер (СИБ), │ │ │ │ │ │ │ │ │ │ │ │предусмотренных планами │ │ │ │ │ │ │ │ │ │ │ │реализации требований ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М15.2 │Реализуются ли при построении │ обязательный │ │ │ │ │ │ │ 0,2688 │ │ │ │элементов СИБ (применительно к │ │ │ │ │ │ │ │ │ │ │ │конкретной области или сфере │ │ │ │ │ │ │ │ │ │ │ │деятельности организации) │ │ │ │ │ │ │ │ │ │ │ │защитные меры, применяемые к │ │ │ │ │ │ │ │ │ │ │ │объектам среды, в соответствии с │ │ │ │ │ │ │ │ │ │ │ │существующими в организации │ │ │ │ │ │ │ │ │ │ │ │требованиями обеспечения ИБ, │ │ │ │ │ │ │ │ │ │ │ │сформулированными в политике ИБ и │ │ │ │ │ │ │ │ │ │ │ │других внутренних документах │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М15.3 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,2412 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │реализацией планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │ │ │реализацией требуемых защитных │ │ │ │ │ │ │ │ │ │ │ │мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М15.4 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,2360 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │реализацией планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │ │ │реализацией требуемых защитных │ │ │ │ │ │ │ │ │ │ │ │мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М15 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М16 "Разработка
и организация реализации программ по обучению и повышению
осведомленности в области ИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.1 │Организована ли документально │ обязательный │ │ │ │ │ │ │ 0,1898 │ │ │ │оформленная работа с персоналом │ │ │ │ │ │ │ │ │ │ │ │организации в направлении │ │ │ │ │ │ │ │ │ │ │ │повышения осведомленности и │ │ │ │ │ │ │ │ │ │ │ │обучения в области ИБ, включая │ │ │ │ │ │ │ │ │ │ │ │разработку и реализацию планов и │ │ │ │ │ │ │ │ │ │ │ │программ обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ и │ │ │ │ │ │ │ │ │ │ │ │контроля результатов выполнения │ │ │ │ │ │ │ │ │ │ │ │указанных планов? Утверждена ли │ │ │ │ │ │ │ │ │ │ │ │руководством указанная работа? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.2 │Установлены ли в планах обучения │ обязательный │ │ │ │ │ │ │ 0,1378 │ │ │ │и повышения осведомленности │ │ │ │ │ │ │ │ │ │ │ │требования к периодичности │ │ │ │ │ │ │ │ │ │ │ │обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.3 │Включена ли в программы обучения │ обязательный │ │ │ │ │ │ │ 0,1536 │ │ │ │и повышения осведомленности │ │ │ │ │ │ │ │ │ │ │ │информация: │ │ │ │ │ │ │ │ │ │ │ │- по существующим политикам ИБ; │ │ │ │ │ │ │ │ │ │ │ │- по применяемым в организации │ │ │ │ │ │ │ │ │ │ │ │защитным мерам; │ │ │ │ │ │ │ │ │ │ │ │- по правильному использованию │ │ │ │ │ │ │ │ │ │ │ │защитных мер в соответствии с │ │ │ │ │ │ │ │ │ │ │ │внутренними документами │ │ │ │ │ │ │ │ │ │ │ │организации; │ │ │ │ │ │ │ │ │ │ │ │- о значимости и важности │ │ │ │ │ │ │ │ │ │ │ │деятельности работников для │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.4 │Определен ли в организации │ обязательный │ │ │ │ │ │ │ 0,1164 │ │ │ │перечень документов, являющихся │ │ │ │ │ │ │ │ │ │ │ │свидетельством выполнения │ │ │ │ │ │ │ │ │ │ │ │программ обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ, в │ │ │ │ │ │ │ │ │ │ │ │частности: │ │ │ │ │ │ │ │ │ │ │ │- документы (журналы), │ │ │ │ │ │ │ │ │ │ │ │подтверждающие прохождение │ │ │ │ │ │ │ │ │ │ │ │руководителями и работниками │ │ │ │ │ │ │ │ │ │ │ │организации обучения в области ИБ │ │ │ │ │ │ │ │ │ │ │ │с указанием уровня образования, │ │ │ │ │ │ │ │ │ │ │ │навыков, опыта и квалификации │ │ │ │ │ │ │ │ │ │ │ │обучаемых; │ │ │ │ │ │ │ │ │ │ │ │- документы, содержащие │ │ │ │ │ │ │ │ │ │ │ │результаты проверок обучения │ │ │ │ │ │ │ │ │ │ │ │работников организации; │ │ │ │ │ │ │ │ │ │ │ │- документы, содержащие │ │ │ │ │ │ │ │ │ │ │ │результаты проверок │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ в │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.5 │Организуется ли для работника, │ обязательный │ │ │ │ │ │ │ 0,1396 │ │ │ │получившего новую роль, обучение │ │ │ │ │ │ │ │ │ │ │ │или инструктаж в области ИБ, │ │ │ │ │ │ │ │ │ │ │ │соответствующий полученной роли? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.6 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1290 │ │ │ │организации роли по разработке, │ │ │ │ │ │ │ │ │ │ │ │реализации планов и программ │ │ │ │ │ │ │ │ │ │ │ │обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ и по │ │ │ │ │ │ │ │ │ │ │ │контролю их результатов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М16.7 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1338 │ │ │ │выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │ │ │реализации планов и программ │ │ │ │ │ │ │ │ │ │ │ │обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ и по │ │ │ │ │ │ │ │ │ │ │ │контролю их результатов? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М16 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М17 "Организация обнаружения
и реагирования на инциденты безопасности"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.1 │Существуют ли в организации │ обязательный │ │ │ │ │ │ │ 0,1372 │ │ │ │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ │процедуры обработки инцидентов, │ │ │ │ │ │ │ │ │ │ │ │включающие: │ │ │ │ │ │ │ │ │ │ │ │- процедуры обнаружения │ │ │ │ │ │ │ │ │ │ │ │инцидентов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- процедуры информирования об │ │ │ │ │ │ │ │ │ │ │ │инцидентах; │ │ │ │ │ │ │ │ │ │ │ │- процедуры классификации │ │ │ │ │ │ │ │ │ │ │ │инцидентов и оценки ущерба, │ │ │ │ │ │ │ │ │ │ │ │нанесенного инцидентом ИБ; │ │ │ │ │ │ │ │ │ │ │ │- процедуры реагирования на │ │ │ │ │ │ │ │ │ │ │ │инцидент; │ │ │ │ │ │ │ │ │ │ │ │- процедуры анализа причин │ │ │ │ │ │ │ │ │ │ │ │инцидентов ИБ и оценки │ │ │ │ │ │ │ │ │ │ │ │результатов реагирования на │ │ │ │ │ │ │ │ │ │ │ │инциденты ИБ (при необходимости │ │ │ │ │ │ │ │ │ │ │ │- с участием внешних экспертов в │ │ │ │ │ │ │ │ │ │ │ │области ИБ)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.2 │Сформирована и поддерживается ли │ рекомендуемый │////│/////│/////│/////│ │ │ 0,1152 │ │ │ │в актуальном состоянии │ │////│/////│/////│/////│ │ │ │ │ │ │централизованная база инцидентов │ │////│/////│/////│/////│ │ │ │ │ │ │ИБ? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.3 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1152 │ │ │ │организации процедуры по хранению │ │ │ │ │ │ │ │ │ │ │ │информации: │ │ │ │ │ │ │ │ │ │ │ │- об инцидентах ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о практиках анализа инцидентов │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о результатах реагирования на │ │ │ │ │ │ │ │ │ │ │ │инциденты ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.4 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1124 │ │ │ │организации порядок действий │ │ │ │ │ │ │ │ │ │ │ │работников организации при │ │ │ │ │ │ │ │ │ │ │ │обнаружении нетипичных событий, │ │ │ │ │ │ │ │ │ │ │ │связанных с ИБ, и порядок │ │ │ │ │ │ │ │ │ │ │ │информирования о данных событиях? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.5 │Осведомлены ли работники │ обязательный │ │ │ │ │ │ │ 0,1124 │ │ │ │организации о порядке действий │ │ │ │ │ │ │ │ │ │ │ │при обнаружении нетипичных │ │ │ │ │ │ │ │ │ │ │ │событий, связанных с ИБ, и │ │ │ │ │ │ │ │ │ │ │ │порядке информирования о данных │ │ │ │ │ │ │ │ │ │ │ │событиях? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.6 │Учитывают ли процедуры │ обязательный │ │ │ │ │ │ │ 0,0948 │ │ │ │расследования инцидентов │ │ │ │ │ │ │ │ │ │ │ │действующее законодательство │ │ │ │ │ │ │ │ │ │ │ │Российской Федерации, положения │ │ │ │ │ │ │ │ │ │ │ │нормативных актов Банка России, а │ │ │ │ │ │ │ │ │ │ │ │также внутренних документов │ │ │ │ │ │ │ │ │ │ │ │организации в области ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.7 │Принимаются и выполняются ли в │ обязательный │ │ │ │ │ │ │ 0,1076 │ │ │ │организации документально │ │ │ │ │ │ │ │ │ │ │ │оформленные решения по всем │ │ │ │ │ │ │ │ │ │ │ │выявленным инцидентам ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.8 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1026 │ │ │ │организации роли по обнаружению, │ │ │ │ │ │ │ │ │ │ │ │классификации, реагированию, │ │ │ │ │ │ │ │ │ │ │ │анализу и расследованию │ │ │ │ │ │ │ │ │ │ │ │инцидентов ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М17.9 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1026 │ │ │ │выполнение ролей по обнаружению, │ │ │ │ │ │ │ │ │ │ │ │классификации, реагированию, │ │ │ │ │ │ │ │ │ │ │ │анализу и расследованию │ │ │ │ │ │ │ │ │ │ │ │инцидентов ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М17 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М18 "Организация
обеспечения непрерывности бизнеса и его восстановления
после прерываний"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.1 │Выделены ли в описи защищаемых │ обязательный │ │ │ │ │ │ │ 0,0876 │ │ │ │информационных активов │ │ │ │ │ │ │ │ │ │ │ │организации активы, существенные │ │ │ │ │ │ │ │ │ │ │ │для обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.2 │Определены ли документально в │ обязательный │ │ │ │ │ │ │ 0,0888 │ │ │ │организации требования │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ, регламентирующие │ │ │ │ │ │ │ │ │ │ │ │вопросы обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса и его восстановления │ │ │ │ │ │ │ │ │ │ │ │после прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.3 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0907 │ │ │ │организации план обеспечения │ │ │ │ │ │ │ │ │ │ │ │непрерывности бизнеса и его │ │ │ │ │ │ │ │ │ │ │ │восстановления после возможного │ │ │ │ │ │ │ │ │ │ │ │прерывания, содержащий инструкции │ │ │ │ │ │ │ │ │ │ │ │и порядок действий работников │ │ │ │ │ │ │ │ │ │ │ │организации, в состав которого │ │ │ │ │ │ │ │ │ │ │ │включены: │ │ │ │ │ │ │ │ │ │ │ │- условия активизации плана; │ │ │ │ │ │ │ │ │ │ │ │- порядок действий, которые │ │ │ │ │ │ │ │ │ │ │ │должны быть предприняты после │ │ │ │ │ │ │ │ │ │ │ │инцидента ИБ (инструкции │ │ │ │ │ │ │ │ │ │ │ │персонала); │ │ │ │ │ │ │ │ │ │ │ │- процедуры восстановления; │ │ │ │ │ │ │ │ │ │ │ │- процедуры тестирования и │ │ │ │ │ │ │ │ │ │ │ │проверки плана; │ │ │ │ │ │ │ │ │ │ │ │- план обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности работников │ │ │ │ │ │ │ │ │ │ │ │организации; │ │ │ │ │ │ │ │ │ │ │ │- обязанности работников │ │ │ │ │ │ │ │ │ │ │ │организации с указанием │ │ │ │ │ │ │ │ │ │ │ │ответственных за выполнение │ │ │ │ │ │ │ │ │ │ │ │каждого из положений плана? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.4 │Основывается ли разработка планов │ обязательный │ │ │ │ │ │ │ 0,0673 │ │ │ │обеспечения непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерываний на документально │ │ │ │ │ │ │ │ │ │ │ │оформленных результатах оценки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ организации │ │ │ │ │ │ │ │ │ │ │ │применительно к информационным │ │ │ │ │ │ │ │ │ │ │ │активам, существенным для │ │ │ │ │ │ │ │ │ │ │ │обеспечения непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.5 │Определены ли документально, │ обязательный │ │ │ │ │ │ │ 0,0801 │ │ │ │реализованы и эксплуатируются ли │ │ │ │ │ │ │ │ │ │ │ │защитные меры обеспечения │ │ │ │ │ │ │ │ │ │ │ │непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │применительно к информационным │ │ │ │ │ │ │ │ │ │ │ │активам, существенным для │ │ │ │ │ │ │ │ │ │ │ │обеспечения непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.6 │Основываются ли реализация и │ обязательный │ │ │ │ │ │ │ 0,0758 │ │ │ │использование защитных мер │ │ │ │ │ │ │ │ │ │ │ │обеспечения непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерывания на соответствующих │ │ │ │ │ │ │ │ │ │ │ │требованиях обеспечения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.7 │Согласован ли план обеспечения │ обязательный │ │ │ │ │ │ │ 0,0593 │ │ │ │непрерывности бизнеса и его │ │ │ │ │ │ │ │ │ │ │ │восстановления после прерываний с │ │ │ │ │ │ │ │ │ │ │ │существующими в организации │ │ │ │ │ │ │ │ │ │ │ │процедурами обработки инцидентов │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.8 │Определено ли в документах │ обязательный │ │ │ │ │ │ │ 0,0550 │ │ │ │организации и выполняется ли │ │ │ │ │ │ │ │ │ │ │ │периодическое тестирование плана │ │ │ │ │ │ │ │ │ │ │ │обеспечения непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.9 │Составлен ли сценарий │ обязательный │ │ │ │ │ │ │ 0,0587 │ │ │ │тестирования плана обеспечения │ │ │ │ │ │ │ │ │ │ │ │непрерывности бизнеса и его │ │ │ │ │ │ │ │ │ │ │ │восстановления после прерывания с │ │ │ │ │ │ │ │ │ │ │ │учетом существующей в организации │ │ │ │ │ │ │ │ │ │ │ │модели угроз и нарушителей, а │ │ │ │ │ │ │ │ │ │ │ │также результатов оценки рисков? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.10 │Проводится ли при необходимости │ обязательный │ │ │ │ │ │ │ 0,0699 │ │ │ │корректировка плана обеспечения │ │ │ │ │ │ │ │ │ │ │ │непрерывности бизнеса и его │ │ │ │ │ │ │ │ │ │ │ │восстановления после прерывания │ │ │ │ │ │ │ │ │ │ │ │по результатам тестирования? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.11 │Реализована ли в организации │ обязательный │ │ │ │ │ │ │ 0,0593 │ │ │ │программа обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности работников в │ │ │ │ │ │ │ │ │ │ │ │области обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса и его восстановления │ │ │ │ │ │ │ │ │ │ │ │после прерываний? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.12 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0717 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры регулярного пересмотра │ │ │ │ │ │ │ │ │ │ │ │и обновления плана обеспечения │ │ │ │ │ │ │ │ │ │ │ │непрерывности бизнеса и его │ │ │ │ │ │ │ │ │ │ │ │восстановления после прерывания │ │ │ │ │ │ │ │ │ │ │ │(для обеспечения уверенности в их │ │ │ │ │ │ │ │ │ │ │ │эффективности), учитывающие │ │ │ │ │ │ │ │ │ │ │ │изменения в приоритетах, целях и │ │ │ │ │ │ │ │ │ │ │ │интересах бизнеса организации; │ │ │ │ │ │ │ │ │ │ │ │пересмотр моделей угроз; оценку │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.13 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0679 │ │ │ │организации роли по разработке │ │ │ │ │ │ │ │ │ │ │ │плана обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса и его восстановления │ │ │ │ │ │ │ │ │ │ │ │после прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М18.14 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0679 │ │ │ │выполнение ролей по разработке │ │ │ │ │ │ │ │ │ │ │ │плана обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса и его восстановления │ │ │ │ │ │ │ │ │ │ │ │после прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┴────────────┤ │Итоговая оценка группового показателя М18 │ └─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
Групповой показатель М19 "Мониторинг и контроль
защитных мер"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.1 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1482 │ │ │ │организации процедуры мониторинга │ │ │ │ │ │ │ │ │ │ │ │СОИБ и контроля защитных мер, │ │ │ │ │ │ │ │ │ │ │ │которые охватывают все │ │ │ │ │ │ │ │ │ │ │ │реализованные и эксплуатируемые │ │ │ │ │ │ │ │ │ │ │ │защитные меры, входящие в СИБ, │ │ │ │ │ │ │ │ │ │ │ │проводятся персоналом │ │ │ │ │ │ │ │ │ │ │ │организации, ответственным за │ │ │ │ │ │ │ │ │ │ │ │обеспечение ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.2 │Фиксируются ли документально │ обязательный │ │ │ │ │ │ │ 0,1352 │ │ │ │результаты выполнения процедур │ │ │ │ │ │ │ │ │ │ │ │мониторинга СОИБ и контроля │ │ │ │ │ │ │ │ │ │ │ │защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.3 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1068 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры сбора и хранения │ │ │ │ │ │ │ │ │ │ │ │информации о действиях работников │ │ │ │ │ │ │ │ │ │ │ │организации, событиях и │ │ │ │ │ │ │ │ │ │ │ │параметрах, имеющих отношение к │ │ │ │ │ │ │ │ │ │ │ │функционированию защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.4 │Включается ли в базу данных │ обязательный │ │ │ │ │ │ │ 0,1352 │ │ │ │инцидентов информация обо всех │ │ │ │ │ │ │ │ │ │ │ │инцидентах ИБ, выявленных в │ │ │ │ │ │ │ │ │ │ │ │процессе мониторинга СОИБ и │ │ │ │ │ │ │ │ │ │ │ │контроля защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.5 │Подвергаются ли процедуры │ обязательный │ │ │ │ │ │ │ 0,1312 │ │ │ │мониторинга СОИБ и контроля │ │ │ │ │ │ │ │ │ │ │ │защитных мер регулярным и │ │ │ │ │ │ │ │ │ │ │ │документально зафиксированным │ │ │ │ │ │ │ │ │ │ │ │пересмотрам в связи с изменениями │ │ │ │ │ │ │ │ │ │ │ │в составе и способах │ │ │ │ │ │ │ │ │ │ │ │использования защитных мер, │ │ │ │ │ │ │ │ │ │ │ │выявлением новых угроз и │ │ │ │ │ │ │ │ │ │ │ │уязвимостей ИБ, а также на основе │ │ │ │ │ │ │ │ │ │ │ │данных об инцидентах ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.6 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,1066 │ │ │ │организации порядок пересмотра │ │ │ │ │ │ │ │ │ │ │ │процедур мониторинга СОИБ и │ │ │ │ │ │ │ │ │ │ │ │контроля защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1184 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │выполнением процедур мониторинга │ │ │ │ │ │ │ │ │ │ │ │СОИБ и контроля защитных мер, а │ │ │ │ │ │ │ │ │ │ │ │также с пересмотром указанных │ │ │ │ │ │ │ │ │ │ │ │процедур? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М19.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1184 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │выполнением процедур мониторинга │ │ │ │ │ │ │ │ │ │ │ │СОИБ и контроля защитных мер, а │ │ │ │ │ │ │ │ │ │ │ │также с пересмотром указанных │ │ │ │ │ │ │ │ │ │ │ │процедур? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М19 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М20 "Проведение самооценки ИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.1 │Проводится ли самооценка ИБ в │ обязательный │ │ │ │ │ │ │ 0,1340 │ │ │ │соответствии с настоящим │ │ │ │ │ │ │ │ │ │ │ │стандартом? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.2 │Организован ли порядок проведения │ рекомендуемый │////│/////│/////│/////│ │ │ 0,1118 │ │ │ │самооценки ИБ в соответствии с │ │////│/////│/////│/////│ │ │ │ │ │ │рекомендациями по стандартизации │ │////│/////│/////│/////│ │ │ │ │ │ │Банка России РС БР ИББС-2.1 │ │////│/////│/////│/////│ │ │ │ │ │ │"Обеспечение информационной │ │////│/////│/////│/////│ │ │ │ │ │ │безопасности организаций │ │////│/////│/////│/////│ │ │ │ │ │ │банковской системы Российской │ │////│/////│/////│/////│ │ │ │ │ │ │Федерации. Руководство по │ │////│/////│/////│/////│ │ │ │ │ │ │самооценке соответствия │ │////│/////│/////│/////│ │ │ │ │ │ │информационной безопасности │ │////│/////│/////│/////│ │ │ │ │ │ │организаций банковской системы │ │////│/////│/////│/////│ │ │ │ │ │ │Российской Федерации требованиям │ │////│/////│/////│/////│ │ │ │ │ │ │СТО БР ИББС-1.0"? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.3 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,1026 │ │ │ │организации и реализована ли │ │ │ │ │ │ │ │ │ │ │ │программа самооценок ИБ, │ │ │ │ │ │ │ │ │ │ │ │содержащая информацию, │ │ │ │ │ │ │ │ │ │ │ │необходимую для планирования и │ │ │ │ │ │ │ │ │ │ │ │организации самооценок ИБ, их │ │ │ │ │ │ │ │ │ │ │ │контроля, анализа и │ │ │ │ │ │ │ │ │ │ │ │совершенствования, а также │ │ │ │ │ │ │ │ │ │ │ │обеспечения их ресурсами, │ │ │ │ │ │ │ │ │ │ │ │необходимыми для эффективного и │ │ │ │ │ │ │ │ │ │ │ │результативного проведения │ │ │ │ │ │ │ │ │ │ │ │указанных самооценок ИБ в │ │ │ │ │ │ │ │ │ │ │ │заданные сроки? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.4 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1098 │ │ │ │организации: │ │ │ │ │ │ │ │ │ │ │ │- порядок формирования, сбора и │ │ │ │ │ │ │ │ │ │ │ │хранения свидетельств самооценки │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- периодичность проведения │ │ │ │ │ │ │ │ │ │ │ │самооценки ИБ; │ │ │ │ │ │ │ │ │ │ │ │- порядок хранения и │ │ │ │ │ │ │ │ │ │ │ │использования результатов │ │ │ │ │ │ │ │ │ │ │ │самооценки ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.5 │Оформлен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0978 │ │ │ │организации для каждой проводимой │ │ │ │ │ │ │ │ │ │ │ │в организации самооценки ИБ план │ │ │ │ │ │ │ │ │ │ │ │ее проведения, определяющий: │ │ │ │ │ │ │ │ │ │ │ │- цель самооценки ИБ; │ │ │ │ │ │ │ │ │ │ │ │- объекты и деятельность, │ │ │ │ │ │ │ │ │ │ │ │подвергающиеся самооценке ИБ; │ │ │ │ │ │ │ │ │ │ │ │- порядок и сроки выполнения │ │ │ │ │ │ │ │ │ │ │ │мероприятий самооценки ИБ; │ │ │ │ │ │ │ │ │ │ │ │- распределение ролей среди │ │ │ │ │ │ │ │ │ │ │ │работников организации, связанных │ │ │ │ │ │ │ │ │ │ │ │с проведением самооценки ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.6 │Подготавливаются ли по │ обязательный │ │ │ │ │ │ │ 0,1150 │ │ │ │результатам самооценок ИБ отчеты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.7 │Доводятся ли результаты │ обязательный │ │ │ │ │ │ │ 0,1262 │ │ │ │самооценок ИБ и соответствующие │ │ │ │ │ │ │ │ │ │ │ │отчеты до руководства │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.8 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1014 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │выполнением программы самооценок │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М20.9 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1014 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │выполнением программы самооценок │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М20 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М21 "Проведение аудита ИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.1 │Проводится ли аудит ИБ │ обязательный │ │ │ │ │ │ │ 0,1192 │ │ │ │организации в соответствии с │ │ │ │ │ │ │ │ │ │ │ │требованиями стандарта Банка │ │ │ │ │ │ │ │ │ │ │ │России СТО БР ИББС-1.1 │ │ │ │ │ │ │ │ │ │ │ │"Обеспечение информационной │ │ │ │ │ │ │ │ │ │ │ │безопасности организаций │ │ │ │ │ │ │ │ │ │ │ │банковской системы Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации. Аудит информационной │ │ │ │ │ │ │ │ │ │ │ │безопасности" и настоящего │ │ │ │ │ │ │ │ │ │ │ │стандарта? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.2 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0974 │ │ │ │организации и реализуется ли │ │ │ │ │ │ │ │ │ │ │ │программа аудитов ИБ, содержащая │ │ │ │ │ │ │ │ │ │ │ │информацию, необходимую для │ │ │ │ │ │ │ │ │ │ │ │планирования и организации │ │ │ │ │ │ │ │ │ │ │ │аудитов ИБ, их контроля, анализа │ │ │ │ │ │ │ │ │ │ │ │и совершенствования, а также │ │ │ │ │ │ │ │ │ │ │ │обеспечения их ресурсами, │ │ │ │ │ │ │ │ │ │ │ │необходимыми для эффективного и │ │ │ │ │ │ │ │ │ │ │ │результативного проведения │ │ │ │ │ │ │ │ │ │ │ │указанных аудитов ИБ в заданные │ │ │ │ │ │ │ │ │ │ │ │сроки? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.3 │Оформлен ли в документах │ обязательный │ │ │ │ │ │ │ 0,1112 │ │ │ │организации для каждого │ │ │ │ │ │ │ │ │ │ │ │проводимого в организации аудита │ │ │ │ │ │ │ │ │ │ │ │ИБ план аудита, определяющий: │ │ │ │ │ │ │ │ │ │ │ │- цель аудита ИБ; │ │ │ │ │ │ │ │ │ │ │ │- критерии аудита ИБ; │ │ │ │ │ │ │ │ │ │ │ │- область аудита ИБ; │ │ │ │ │ │ │ │ │ │ │ │- дату и продолжительность │ │ │ │ │ │ │ │ │ │ │ │проведения аудита ИБ; │ │ │ │ │ │ │ │ │ │ │ │- состав аудиторской группы; │ │ │ │ │ │ │ │ │ │ │ │- описание деятельности и │ │ │ │ │ │ │ │ │ │ │ │мероприятий по проведению аудита │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- распределение ресурсов при │ │ │ │ │ │ │ │ │ │ │ │проведении аудита ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.4 │Оформлены ли договоры с │ обязательный │ │ │ │ │ │ │ 0,1246 │ │ │ │аудиторскими организациями и │ │ │ │ │ │ │ │ │ │ │ │определены ли в соответствующих │ │ │ │ │ │ │ │ │ │ │ │документах: │ │ │ │ │ │ │ │ │ │ │ │- порядок хранения, доступа и │ │ │ │ │ │ │ │ │ │ │ │использования материалов, │ │ │ │ │ │ │ │ │ │ │ │получаемых в процессе проведения │ │ │ │ │ │ │ │ │ │ │ │аудита ИБ; │ │ │ │ │ │ │ │ │ │ │ │- порядок взаимодействия с │ │ │ │ │ │ │ │ │ │ │ │аудиторской организацией в │ │ │ │ │ │ │ │ │ │ │ │процессе проведения аудита ИБ; │ │ │ │ │ │ │ │ │ │ │ │- порядок взаимодействия │ │ │ │ │ │ │ │ │ │ │ │аудиторской группы и руководства, │ │ │ │ │ │ │ │ │ │ │ │позволяющий представителям │ │ │ │ │ │ │ │ │ │ │ │аудиторской группы при │ │ │ │ │ │ │ │ │ │ │ │необходимости непосредственно │ │ │ │ │ │ │ │ │ │ │ │обращаться к руководству; │ │ │ │ │ │ │ │ │ │ │ │- порядок организации опроса │ │ │ │ │ │ │ │ │ │ │ │работников; │ │ │ │ │ │ │ │ │ │ │ │- порядок организации наблюдения │ │ │ │ │ │ │ │ │ │ │ │за деятельностью работников │ │ │ │ │ │ │ │ │ │ │ │организации со стороны │ │ │ │ │ │ │ │ │ │ │ │представителей аудиторской │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.5 │Подготавливаются ли по │ обязательный │ │ │ │ │ │ │ 0,1186 │ │ │ │результатам аудитов ИБ отчеты? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.6 │Доводятся ли результаты аудитов │ обязательный │ │ │ │ │ │ │ 0,1312 │ │ │ │ИБ и соответствующие отчеты до │ │ │ │ │ │ │ │ │ │ │ │руководства организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.7 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,0886 │ │ │ │организации порядок хранения, │ │ │ │ │ │ │ │ │ │ │ │доступа и использования │ │ │ │ │ │ │ │ │ │ │ │материалов, получаемых в процессе │ │ │ │ │ │ │ │ │ │ │ │проведения аудитов, в частности │ │ │ │ │ │ │ │ │ │ │ │отчетов аудитов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.8 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1046 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │организацией выполнения программ │ │ │ │ │ │ │ │ │ │ │ │аудитов и планов отдельных │ │ │ │ │ │ │ │ │ │ │ │аудитов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М21.9 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1046 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │организацией выполнения программ │ │ │ │ │ │ │ │ │ │ │ │аудитов и планов отдельных │ │ │ │ │ │ │ │ │ │ │ │внешних аудитов? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М21 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М22 "Анализ функционирования СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.1 │Проводится ли в организации │ обязательный │ │ │ │ │ │ │ 0,1274 │ │ │ │анализ функционирования СОИБ, │ │ │ │ │ │ │ │ │ │ │ │использующий в том числе: │ │ │ │ │ │ │ │ │ │ │ │- результаты мониторинга СОИБ и │ │ │ │ │ │ │ │ │ │ │ │контроля защитных мер; │ │ │ │ │ │ │ │ │ │ │ │- сведения об инцидентах ИБ; │ │ │ │ │ │ │ │ │ │ │ │- результаты проведения аудитов │ │ │ │ │ │ │ │ │ │ │ │ИБ, самооценок ИБ; │ │ │ │ │ │ │ │ │ │ │ │- данные об угрозах, возможных │ │ │ │ │ │ │ │ │ │ │ │нарушителях и уязвимостях ИБ; │ │ │ │ │ │ │ │ │ │ │ │- данные об изменениях внутри │ │ │ │ │ │ │ │ │ │ │ │организации, например данные об │ │ │ │ │ │ │ │ │ │ │ │изменениях в процессах и │ │ │ │ │ │ │ │ │ │ │ │технологиях, реализуемых в рамках │ │ │ │ │ │ │ │ │ │ │ │основного процессного потока, │ │ │ │ │ │ │ │ │ │ │ │изменениях во внутренних │ │ │ │ │ │ │ │ │ │ │ │документах организации; │ │ │ │ │ │ │ │ │ │ │ │- данные об изменениях вне │ │ │ │ │ │ │ │ │ │ │ │организации, например данные об │ │ │ │ │ │ │ │ │ │ │ │изменениях в законодательстве │ │ │ │ │ │ │ │ │ │ │ │Российской Федерации, изменениях │ │ │ │ │ │ │ │ │ │ │ │в требованиях комплекса БР ИББС, │ │ │ │ │ │ │ │ │ │ │ │изменениях в договорных │ │ │ │ │ │ │ │ │ │ │ │обязательствах организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.2 │Проводится ли анализ соответствия │ обязательный │ │ │ │ │ │ │ 0,1058 │ │ │ │комплекса внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ в организации, │ │ │ │ │ │ │ │ │ │ │ │требованиям законодательства РФ, │ │ │ │ │ │ │ │ │ │ │ │требованиям стандартов Банка │ │ │ │ │ │ │ │ │ │ │ │России, контрактным требованиям │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.3 │Проводится ли анализ соответствия │ обязательный │ │ │ │ │ │ │ 0,1002 │ │ │ │внутренних документов нижних │ │ │ │ │ │ │ │ │ │ │ │уровней иерархии, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ в организации, │ │ │ │ │ │ │ │ │ │ │ │требованиям политик ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.4 │Проводится ли оценка рисков в │ обязательный │ │ │ │ │ │ │ 0,0946 │ │ │ │области ИБ организации, включая │ │ │ │ │ │ │ │ │ │ │ │оценку уровня остаточного и │ │ │ │ │ │ │ │ │ │ │ │допустимого рисков? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.5 │Проводится ли проверка │ обязательный │ │ │ │ │ │ │ 0,0946 │ │ │ │адекватности модели угроз │ │ │ │ │ │ │ │ │ │ │ │организации существующим угрозам │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.6 │Проводится ли оценка адекватности │ обязательный │ │ │ │ │ │ │ 0,0930 │ │ │ │используемых защитных мер │ │ │ │ │ │ │ │ │ │ │ │требованиям внутренних документов │ │ │ │ │ │ │ │ │ │ │ │организации и результатам оценки │ │ │ │ │ │ │ │ │ │ │ │рисков? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.7 │Проводится ли анализ отсутствия │ обязательный │ │ │ │ │ │ │ 0,0822 │ │ │ │разрывов в технологических │ │ │ │ │ │ │ │ │ │ │ │процессах обеспечения ИБ, а также │ │ │ │ │ │ │ │ │ │ │ │несогласованности в использовании │ │ │ │ │ │ │ │ │ │ │ │защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.8 │Документируются ли результаты │ обязательный │ │ │ │ │ │ │ 0,1026 │ │ │ │анализа функционирования СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0998 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │процедурами анализа │ │ │ │ │ │ │ │ │ │ │ │функционирования СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М22.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0998 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │процедурами анализа │ │ │ │ │ │ │ │ │ │ │ │функционирования СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М22 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М23 "Анализ СОИБ со стороны
руководства организации БС РФ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.1 │Утвержден ли в организации │ обязательный │ │ │ │ │ │ │ 0,1376 │ │ │ │перечень документов (данных), │ │ │ │ │ │ │ │ │ │ │ │необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.2 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1464 │ │ │ │необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, отчеты с │ │ │ │ │ │ │ │ │ │ │ │результатами: │ │ │ │ │ │ │ │ │ │ │ │- мониторинга СОИБ и контроля │ │ │ │ │ │ │ │ │ │ │ │защитных мер; │ │ │ │ │ │ │ │ │ │ │ │- анализа функционирования СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- аудитов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- самооценок ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.3 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1318 │ │ │ │необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, документы, │ │ │ │ │ │ │ │ │ │ │ │содержащие информацию: │ │ │ │ │ │ │ │ │ │ │ │- о способах и методах защиты, │ │ │ │ │ │ │ │ │ │ │ │защитных мерах или процедурах их │ │ │ │ │ │ │ │ │ │ │ │использования, которые могли бы │ │ │ │ │ │ │ │ │ │ │ │использоваться для улучшения │ │ │ │ │ │ │ │ │ │ │ │функционирования СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- о новых выявленных уязвимостях │ │ │ │ │ │ │ │ │ │ │ │и угрозах ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о действиях, предпринятых по │ │ │ │ │ │ │ │ │ │ │ │итогам предыдущих анализов СОИБ, │ │ │ │ │ │ │ │ │ │ │ │осуществленных руководством; │ │ │ │ │ │ │ │ │ │ │ │- об изменениях, которые могли бы │ │ │ │ │ │ │ │ │ │ │ │повлиять на организацию СОИБ, │ │ │ │ │ │ │ │ │ │ │ │например изменения в │ │ │ │ │ │ │ │ │ │ │ │законодательстве Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации и (или) в положениях │ │ │ │ │ │ │ │ │ │ │ │стандартов Банка России; │ │ │ │ │ │ │ │ │ │ │ │- о выявленных инцидентах ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.4 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1154 │ │ │ │необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, документы, │ │ │ │ │ │ │ │ │ │ │ │подтверждающие выполнение │ │ │ │ │ │ │ │ │ │ │ │требуемой деятельности по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ, например │ │ │ │ │ │ │ │ │ │ │ │выполнение планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.5 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1228 │ │ │ │необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, документы, │ │ │ │ │ │ │ │ │ │ │ │подтверждающие выполнение │ │ │ │ │ │ │ │ │ │ │ │требований непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.6 │Определен ли в организации и │ обязательный │ │ │ │ │ │ │ 0,1104 │ │ │ │утвержден ли руководством план │ │ │ │ │ │ │ │ │ │ │ │выполнения деятельности по │ │ │ │ │ │ │ │ │ │ │ │контролю и анализу СОИБ, │ │ │ │ │ │ │ │ │ │ │ │содержащий, в частности, │ │ │ │ │ │ │ │ │ │ │ │положения по проведению совещаний │ │ │ │ │ │ │ │ │ │ │ │на уровне руководства, на которых │ │ │ │ │ │ │ │ │ │ │ │в том числе производятся поиск и │ │ │ │ │ │ │ │ │ │ │ │анализ проблем ИБ, влияющих на │ │ │ │ │ │ │ │ │ │ │ │бизнес организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1178 │ │ │ │организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │подготовкой информации, │ │ │ │ │ │ │ │ │ │ │ │необходимой для анализа СОИБ │ │ │ │ │ │ │ │ │ │ │ │руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М23.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1178 │ │ │ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │подготовкой информации, │ │ │ │ │ │ │ │ │ │ │ │необходимой для анализа СОИБ │ │ │ │ │ │ │ │ │ │ │ │руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М23 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М24 "Принятие решений по тактическим
улучшениям СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.1 │Рассматриваются ли при принятии │ обязательный │ │ │ │ │ │ │ 0,1354 │ │ │ │решений, связанных с тактическими │ │ │ │ │ │ │ │ │ │ │ │улучшениями СОИБ, документально │ │ │ │ │ │ │ │ │ │ │ │оформленные результаты: │ │ │ │ │ │ │ │ │ │ │ │- аудитов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- самооценок ИБ; │ │ │ │ │ │ │ │ │ │ │ │- мониторинга СОИБ и контроля │ │ │ │ │ │ │ │ │ │ │ │защитных мер; │ │ │ │ │ │ │ │ │ │ │ │- анализа функционирования СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- обработки инцидентов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- выявления новых угроз и │ │ │ │ │ │ │ │ │ │ │ │уязвимостей ИБ; │ │ │ │ │ │ │ │ │ │ │ │- оценки рисков; │ │ │ │ │ │ │ │ │ │ │ │- анализа перечня защитных мер, │ │ │ │ │ │ │ │ │ │ │ │возможных для применения; │ │ │ │ │ │ │ │ │ │ │ │- стратегических улучшений СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- анализа СОИБ со стороны │ │ │ │ │ │ │ │ │ │ │ │руководства; │ │ │ │ │ │ │ │ │ │ │ │- анализа успешных практик в │ │ │ │ │ │ │ │ │ │ │ │области ИБ (собственных или │ │ │ │ │ │ │ │ │ │ │ │других организаций)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.2 │Оформляются ли документально │ обязательный │ │ │ │ │ │ │ 0,1354 │ │ │ │решения по тактическим улучшениям │ │ │ │ │ │ │ │ │ │ │ │СОИБ, содержащие либо выводы об │ │ │ │ │ │ │ │ │ │ │ │отсутствии необходимости │ │ │ │ │ │ │ │ │ │ │ │тактических улучшений СОИБ, либо │ │ │ │ │ │ │ │ │ │ │ │направления тактических улучшений │ │ │ │ │ │ │ │ │ │ │ │СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.3 │Формируются ли направления │ обязательный │ │ │ │ │ │ │ 0,1216 │ │ │ │тактических улучшений СОИБ в виде │ │ │ │ │ │ │ │ │ │ │ │корректирующих и превентивных │ │ │ │ │ │ │ │ │ │ │ │действий? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.4 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1354 │ │ │ │организации планы реализации │ │ │ │ │ │ │ │ │ │ │ │тактических улучшений СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.5 │Существуют ли в организации │ обязательный │ │ │ │ │ │ │ 0,1272 │ │ │ │документы, в которых фиксируются │ │ │ │ │ │ │ │ │ │ │ │результаты выполнения планов │ │ │ │ │ │ │ │ │ │ │ │реализации тактических улучшений │ │ │ │ │ │ │ │ │ │ │ │СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.6 │Санкционирует и контролирует ли │ обязательный │ │ │ │ │ │ │ 0,1300 │ │ │ │руководство службы ИБ организации │ │ │ │ │ │ │ │ │ │ │ │деятельность, связанную с │ │ │ │ │ │ │ │ │ │ │ │реализацией тактических улучшений │ │ │ │ │ │ │ │ │ │ │ │СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0934 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры согласования и │ │ │ │ │ │ │ │ │ │ │ │информирования заинтересованных │ │ │ │ │ │ │ │ │ │ │ │сторон о тактических улучшениях │ │ │ │ │ │ │ │ │ │ │ │СОИБ, в частности об изменениях, │ │ │ │ │ │ │ │ │ │ │ │относящихся к обеспечению ИБ, к │ │ │ │ │ │ │ │ │ │ │ │ответственности в области ИБ, к │ │ │ │ │ │ │ │ │ │ │ │требованиям ИБ? Фиксируются ли │ │ │ │ │ │ │ │ │ │ │ │результаты выполнения указанных │ │ │ │ │ │ │ │ │ │ │ │процедур? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М24.8 │Назначаются ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1216 │ │ │ │реализацию решений по тактическим │ │ │ │ │ │ │ │ │ │ │ │улучшениям СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М24 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М25 "Принятие решений
по стратегическим улучшениям СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.1 │Рассматриваются ли при принятии │ обязательный │ │ │ │ │ │ │ 0,1130 │ │ │ │решений, связанных со │ │ │ │ │ │ │ │ │ │ │ │стратегическими улучшениями СОИБ, │ │ │ │ │ │ │ │ │ │ │ │документально оформленные │ │ │ │ │ │ │ │ │ │ │ │результаты: │ │ │ │ │ │ │ │ │ │ │ │- аудитов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- самооценок ИБ; │ │ │ │ │ │ │ │ │ │ │ │- мониторинга СОИБ и контроля │ │ │ │ │ │ │ │ │ │ │ │защитных мер; │ │ │ │ │ │ │ │ │ │ │ │- анализа функционирования СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- обработки инцидентов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- выявления новых информационных │ │ │ │ │ │ │ │ │ │ │ │активов организации или их типов; │ │ │ │ │ │ │ │ │ │ │ │- выявления новых угроз и │ │ │ │ │ │ │ │ │ │ │ │уязвимостей ИБ; │ │ │ │ │ │ │ │ │ │ │ │- оценки рисков; │ │ │ │ │ │ │ │ │ │ │ │- пересмотра основных рисков ИБ; │ │ │ │ │ │ │ │ │ │ │ │- анализа СОИБ со стороны │ │ │ │ │ │ │ │ │ │ │ │руководства; │ │ │ │ │ │ │ │ │ │ │ │- анализа успешных практик в │ │ │ │ │ │ │ │ │ │ │ │области ИБ (собственных или │ │ │ │ │ │ │ │ │ │ │ │других организаций)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.2 │Рассматриваются ли при принятии │ обязательный │ │ │ │ │ │ │ 0,1058 │ │ │ │решений, связанных со │ │ │ │ │ │ │ │ │ │ │ │стратегическими улучшениями СОИБ, │ │ │ │ │ │ │ │ │ │ │ │изменения интересов, целей и │ │ │ │ │ │ │ │ │ │ │ │задач бизнеса организации, │ │ │ │ │ │ │ │ │ │ │ │контрактных обязательств │ │ │ │ │ │ │ │ │ │ │ │организации, а также изменения в │ │ │ │ │ │ │ │ │ │ │ │законодательстве РФ и нормативных │ │ │ │ │ │ │ │ │ │ │ │актах Банка России? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.3 │Оформляются ли документально │ обязательный │ │ │ │ │ │ │ 0,0984 │ │ │ │решения по стратегическим │ │ │ │ │ │ │ │ │ │ │ │улучшениям СОИБ, содержащие либо │ │ │ │ │ │ │ │ │ │ │ │выводы об отсутствии │ │ │ │ │ │ │ │ │ │ │ │необходимости стратегических │ │ │ │ │ │ │ │ │ │ │ │улучшений СОИБ, либо направления │ │ │ │ │ │ │ │ │ │ │ │стратегических улучшений СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.4 │Формируются ли направления │ обязательный │ │ │ │ │ │ │ 0,0984 │ │ │ │стратегических улучшений СОИБ в │ │ │ │ │ │ │ │ │ │ │ │виде корректирующих или │ │ │ │ │ │ │ │ │ │ │ │превентивных действий, например: │ │ │ │ │ │ │ │ │ │ │ │- уточнение/пересмотр целей и │ │ │ │ │ │ │ │ │ │ │ │задач обеспечения ИБ, │ │ │ │ │ │ │ │ │ │ │ │определенных в рамках политики ИБ │ │ │ │ │ │ │ │ │ │ │ │(частных политик ИБ) организации; │ │ │ │ │ │ │ │ │ │ │ │- изменения в области действия │ │ │ │ │ │ │ │ │ │ │ │СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- уточнение описи типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- пересмотр моделей угроз и │ │ │ │ │ │ │ │ │ │ │ │нарушителей; │ │ │ │ │ │ │ │ │ │ │ │- изменение подходов к оценке │ │ │ │ │ │ │ │ │ │ │ │рисков ИБ, критериев принятия │ │ │ │ │ │ │ │ │ │ │ │риска ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1016 │ │ │ │организации планы реализации │ │ │ │ │ │ │ │ │ │ │ │стратегических улучшений СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.6 │Существуют ли в организации │ обязательный │ │ │ │ │ │ │ 0,0962 │ │ │ │документы, в которых фиксируются │ │ │ │ │ │ │ │ │ │ │ │результаты выполнения планов │ │ │ │ │ │ │ │ │ │ │ │реализации стратегических │ │ │ │ │ │ │ │ │ │ │ │улучшений СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.7 │Санкционирует и контролирует ли │ обязательный │ │ │ │ │ │ │ 0,1108 │ │ │ │руководство организации │ │ │ │ │ │ │ │ │ │ │ │деятельность, связанную с │ │ │ │ │ │ │ │ │ │ │ │реализацией стратегических │ │ │ │ │ │ │ │ │ │ │ │улучшений СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.8 │В случае стратегических улучшений │ обязательный │ │ │ │ │ │ │ 0,1058 │ │ │ │СОИБ выполняется ли деятельность │ │ │ │ │ │ │ │ │ │ │ │по реализации соответствующих │ │ │ │ │ │ │ │ │ │ │ │тактических улучшений СОИБ для │ │ │ │ │ │ │ │ │ │ │ │всех необходимых процедур │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ, используемых │ │ │ │ │ │ │ │ │ │ │ │защитных мер и соответствующих │ │ │ │ │ │ │ │ │ │ │ │внутренних документов, в │ │ │ │ │ │ │ │ │ │ │ │частности, выполняются ли: │ │ │ │ │ │ │ │ │ │ │ │- выработка планов тактических │ │ │ │ │ │ │ │ │ │ │ │улучшений СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- уточнение планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков; │ │ │ │ │ │ │ │ │ │ │ │- уточнение программы внедрения │ │ │ │ │ │ │ │ │ │ │ │защитных мер; │ │ │ │ │ │ │ │ │ │ │ │- уточнение процедур │ │ │ │ │ │ │ │ │ │ │ │использования защитных мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0822 │ │ │ │организации и выполняются ли │ │ │ │ │ │ │ │ │ │ │ │процедуры согласования и │ │ │ │ │ │ │ │ │ │ │ │информирования заинтересованных │ │ │ │ │ │ │ │ │ │ │ │сторон о стратегических │ │ │ │ │ │ │ │ │ │ │ │улучшениях СОИБ, в частности об │ │ │ │ │ │ │ │ │ │ │ │изменениях, относящихся к │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ, к ответственности │ │ │ │ │ │ │ │ │ │ │ │в области ИБ, к требованиям ИБ? │ │ │ │ │ │ │ │ │ │ │ │Фиксируются ли документально │ │ │ │ │ │ │ │ │ │ │ │результаты выполнения указанных │ │ │ │ │ │ │ │ │ │ │ │процедур? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М25.10 │Назначаются ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0878 │ │ │ │реализацию решений по │ │ │ │ │ │ │ │ │ │ │ │стратегическим улучшениям СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М25 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М26 "Оценка деятельности руководства
организации БС РФ по поддержке функционирования службы ИБ
организации БС РФ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.1 │Сформирована ли руководством │ обязательный │ │ │ │ │ │ │ 0,0816 │ │ │ (аналог М9.1)│служба ИБ (назначено ли │ │ │ │ │ │ │ │ │ │ │ │уполномоченное лицо) для │ │ │ │ │ │ │ │ │ │ │ │реализации, эксплуатации, │ │ │ │ │ │ │ │ │ │ │ │контроля и поддержания на должном │ │ │ │ │ │ │ │ │ │ │ │уровне СОИБ, утверждены ли цели и │ │ │ │ │ │ │ │ │ │ │ │задачи ее деятельности? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.2 │Имеет ли служба ИБ утвержденные │ обязательный │ │ │ │ │ │ │ 0,0753 │ │ │(аналог М9.2) │руководством полномочия и │ │ │ │ │ │ │ │ │ │ │ │ресурсы, необходимые для │ │ │ │ │ │ │ │ │ │ │ │выполнения установленных целей и │ │ │ │ │ │ │ │ │ │ │ │задач? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.3 │Имеет ли служба ИБ назначенного │ обязательный │ │ │ │ │ │ │ 0,0750 │ │ │ (аналог М9.3)│из числа руководства куратора, │ │ │ │ │ │ │ │ │ │ │ │который при этом не является │ │ │ │ │ │ │ │ │ │ │ │куратором службы информатизации │ │ │ │ │ │ │ │ │ │ │ │(автоматизации)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.4 │Наделена ли служба ИБ собственным │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0530 │ │ │ (аналог М9.4)│бюджетом? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.5 │Сформированы ли для организаций, │ рекомендуемый │////│/////│/////│/////│ │ │ 0,0615 │ │ │ (аналог М9.5)│имеющих сеть филиалов или │ │////│/////│/////│/////│ │ │ │ │ │ │региональных представительств, │ │////│/////│/////│/////│ │ │ │ │ │ │подразделения ИБ (уполномоченные │ │////│/////│/////│/////│ │ │ │ │ │ │лица) на местах и обеспечены ли │ │////│/////│/////│/////│ │ │ │ │ │ │эти подразделения необходимыми │ │////│/////│/////│/////│ │ │ │ │ │ │ресурсами и нормативной базой? │ │////│/////│/////│/////│ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.6 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0694 │ │ │ (аналог М9.6)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями организовывать │ │ │ │ │ │ │ │ │ │ │ │составление и контролировать │ │ │ │ │ │ │ │ │ │ │ │выполнение всех планов по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.7 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │ (аналог М9.7)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями разрабатывать и │ │ │ │ │ │ │ │ │ │ │ │вносить предложения по изменению │ │ │ │ │ │ │ │ │ │ │ │политик ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.8 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │ (аналог М9.8)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями организовывать │ │ │ │ │ │ │ │ │ │ │ │изменения существующих и принятие │ │ │ │ │ │ │ │ │ │ │ │руководством новых внутренних │ │ │ │ │ │ │ │ │ │ │ │документов, регламентирующих │ │ │ │ │ │ │ │ │ │ │ │деятельность по обеспечению ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.9 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0781 │ │ │(аналог М9.9) │(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями определять │ │ │ │ │ │ │ │ │ │ │ │требования к мерам обеспечения ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.10 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │(аналог М9.10)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями контролировать │ │ │ │ │ │ │ │ │ │ │ │работников организации в части │ │ │ │ │ │ │ │ │ │ │ │выполнения ими требований │ │ │ │ │ │ │ │ │ │ │ │внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность в │ │ │ │ │ │ │ │ │ │ │ │области обеспечения ИБ, в первую │ │ │ │ │ │ │ │ │ │ │ │очередь работников, имеющих │ │ │ │ │ │ │ │ │ │ │ │максимальные полномочия по │ │ │ │ │ │ │ │ │ │ │ │доступу к защищаемым │ │ │ │ │ │ │ │ │ │ │ │информационным активам? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.11 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0725 │ │ │(аналог М9.11)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями осуществлять │ │ │ │ │ │ │ │ │ │ │ │мониторинг событий, связанных с │ │ │ │ │ │ │ │ │ │ │ │обеспечением ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.12 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0787 │ │ │(аналог М9.12)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями участвовать в │ │ │ │ │ │ │ │ │ │ │ │расследовании событий, связанных │ │ │ │ │ │ │ │ │ │ │ │с инцидентами ИБ, и выходить в │ │ │ │ │ │ │ │ │ │ │ │случае необходимости с │ │ │ │ │ │ │ │ │ │ │ │предложениями по применению │ │ │ │ │ │ │ │ │ │ │ │санкций в отношении лиц, │ │ │ │ │ │ │ │ │ │ │ │осуществивших НСД и НРД │ │ │ │ │ │ │ │ │ │ │ │(например, нарушивших требования │ │ │ │ │ │ │ │ │ │ │ │инструкций, руководств по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.13 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0587 │ │ │(аналог М9.13)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями участвовать в │ │ │ │ │ │ │ │ │ │ │ │действиях по восстановлению │ │ │ │ │ │ │ │ │ │ │ │работоспособности АБС после сбоев │ │ │ │ │ │ │ │ │ │ │ │и аварий? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М26.14 │Наделена ли служба ИБ │ обязательный │ │ │ │ │ │ │ 0,0787 │ │ │(аналог М9.14)│(уполномоченное лицо) │ │ │ │ │ │ │ │ │ │ │ │полномочиями участвовать в │ │ │ │ │ │ │ │ │ │ │ │создании, поддержании, │ │ │ │ │ │ │ │ │ │ │ │эксплуатации и совершенствовании │ │ │ │ │ │ │ │ │ │ │ │СОИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М26 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М27 "Оценка деятельности
руководства организации БС РФ по принятию решений
о реализации и эксплуатации СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М27.1 │Оформлены ли документально и │ обязательный │ │ │ │ │ │ │ 0,2752 │ │ │(аналог М14.1)│утверждены ли руководством │ │ │ │ │ │ │ │ │ │ │ │решения о реализации и │ │ │ │ │ │ │ │ │ │ │ │эксплуатации СОИБ, в частности │ │ │ │ │ │ │ │ │ │ │ │решения: │ │ │ │ │ │ │ │ │ │ │ │- об анализе и принятии │ │ │ │ │ │ │ │ │ │ │ │остаточных рисков нарушения ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о планировании этапов внедрения │ │ │ │ │ │ │ │ │ │ │ │СОИБ, в частности требований ИБ, │ │ │ │ │ │ │ │ │ │ │ │изложенных в 7-м и 8-м разделах │ │ │ │ │ │ │ │ │ │ │ │СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │ │ │- о распределении ролей в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ организации; │ │ │ │ │ │ │ │ │ │ │ │- о принятии со стороны │ │ │ │ │ │ │ │ │ │ │ │руководства планов внедрения │ │ │ │ │ │ │ │ │ │ │ │защитных мер, направленных на │ │ │ │ │ │ │ │ │ │ │ │реализацию требований 7-го и 8-го │ │ │ │ │ │ │ │ │ │ │ │разделов СТО БР ИББС-1.0 и │ │ │ │ │ │ │ │ │ │ │ │снижение рисков ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о выделении ресурсов, │ │ │ │ │ │ │ │ │ │ │ │необходимых для реализации и │ │ │ │ │ │ │ │ │ │ │ │эксплуатации функционирования │ │ │ │ │ │ │ │ │ │ │ │СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М27.2 │Утверждены ли руководством все │ обязательный │ │ │ │ │ │ │ 0,2812 │ │ │(аналог М14.2)│планы внедрения СОИБ, в частности │ │ │ │ │ │ │ │ │ │ │ │планы реализаций требований 7-го │ │ │ │ │ │ │ │ │ │ │ │и 8-го разделов СТО БР ИББС-1.0, │ │ │ │ │ │ │ │ │ │ │ │планы обработки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ и внедрения защитных мер, в │ │ │ │ │ │ │ │ │ │ │ │которых документально │ │ │ │ │ │ │ │ │ │ │ │зафиксированы: │ │ │ │ │ │ │ │ │ │ │ │- последовательность выполнения │ │ │ │ │ │ │ │ │ │ │ │мероприятий в рамках указанных │ │ │ │ │ │ │ │ │ │ │ │планов; │ │ │ │ │ │ │ │ │ │ │ │- сроки начала и окончания │ │ │ │ │ │ │ │ │ │ │ │запланированных мероприятий; │ │ │ │ │ │ │ │ │ │ │ │- должностные лица │ │ │ │ │ │ │ │ │ │ │ │(подразделения), ответственные за │ │ │ │ │ │ │ │ │ │ │ │выполнение каждого указанного │ │ │ │ │ │ │ │ │ │ │ │мероприятия? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М27.3 │Определен ли документально │ обязательный │ │ │ │ │ │ │ 0,2096 │ │ │(аналог М14.3)│порядок разработки, пересмотра и │ │ │ │ │ │ │ │ │ │ │ │контроля исполнения планов по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М27.4 │Оформлены ли документально │ обязательный │ │ │ │ │ │ │ 0,2340 │ │ │ аналог М14.4)│решения руководства, связанные с │ │ │ │ │ │ │ │ │ │ │ │назначением и распределением │ │ │ │ │ │ │ │ │ │ │ │ролей для всех структурных │ │ │ │ │ │ │ │ │ │ │ │подразделений в соответствии с │ │ │ │ │ │ │ │ │ │ │ │положениями внутренних │ │ │ │ │ │ │ │ │ │ │ │документов, регламентирующих │ │ │ │ │ │ │ │ │ │ │ │деятельность по обеспечению ИБ │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М27 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М28 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.1 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │(аналог М10.1)│организации и корректируется ли │ │ │ │ │ │ │ │ │ │ │ │опись структурированных по │ │ │ │ │ │ │ │ │ │ │ │классам защищаемых информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов - типов информации)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.2 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М10.6)│организации роли по │ │ │ │ │ │ │ │ │ │ │ │определению/коррекции области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │ │ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.3 │Назначены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М10.7)│ответственные за выполнение ролей │ │ │ │ │ │ │ │ │ │ │ │по определению/коррекции области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │ │ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │ │ │активов (типов информационных │ │ │ │ │ │ │ │ │ │ │ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │ │ │действия СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.4 │Принята ли в организации и │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │(аналог М11.1)│корректируется ли методика оценки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ/подход к │ │ │ │ │ │ │ │ │ │ │ │оценке рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.5 │Определены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │(аналог М11.2)│критерии принятия рисков │ │ │ │ │ │ │ │ │ │ │ │нарушения ИБ и уровень │ │ │ │ │ │ │ │ │ │ │ │допустимого риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.6 │Определяет ли порядок оценки │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │(аналог М11.4)│рисков нарушения ИБ необходимые │ │ │ │ │ │ │ │ │ │ │ │процедуры оценки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ, а также последовательность их │ │ │ │ │ │ │ │ │ │ │ │выполнения? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М11.9)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │деятельностью по │ │ │ │ │ │ │ │ │ │ │ │определению/коррекции методики │ │ │ │ │ │ │ │ │ │ │ │оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │ │ │подхода к оценке риска нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │ (аналог │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ М11.10) │деятельностью по │ │ │ │ │ │ │ │ │ │ │ │определению/коррекции методики │ │ │ │ │ │ │ │ │ │ │ │оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │ │ │подхода к оценке риска нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │ (аналог │организации роли по оценке рисков │ │ │ │ │ │ │ │ │ │ │ М11.11) │нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │ (аналог │выполнение ролей по оценке рисков │ │ │ │ │ │ │ │ │ │ │ М11.12) │нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.11 │Утверждены ли руководством │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М12.3)│организации планы обработки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.12 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │(аналог М12.5)│организации роли по разработке │ │ │ │ │ │ │ │ │ │ │ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.13 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М12.6)│выполнение ролей по разработке │ │ │ │ │ │ │ │ │ │ │ │планов обработки рисков нарушения │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.14 │Разработана ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0408 │ │ │(аналог М13.2)│организации? Утверждена ли │ │ │ │ │ │ │ │ │ │ │ │политика ИБ руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.15 │Корректируется ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │(аналог М13.3)│организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.16 │Разработаны ли частные политики │ обязательный │ │ │ │ │ │ │ 0,0408 │ │ │(аналог М13.4)│ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.17 │Корректируются ли частные │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М13.5)│политики ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.18 │Определены ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │(аналог М13.9)│(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │ │ │организации: │ │ │ │ │ │ │ │ │ │ │ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные области обеспечения │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │ │ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │ │ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные требования к │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы противодействия │ │ │ │ │ │ │ │ │ │ │ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │ │ │основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │ │ │уровня осознания и │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │ │ │выполнения требований политики │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.19 │Корректируются ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │ (аналог │(частных политиках ИБ) │ │ │ │ │ │ │ │ │ │ │ М13.10) │организации: │ │ │ │ │ │ │ │ │ │ │ │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные области обеспечения │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │ │ │- совокупность правил, требований │ │ │ │ │ │ │ │ │ │ │ │и руководящих принципов в области │ │ │ │ │ │ │ │ │ │ │ │ИБ; │ │ │ │ │ │ │ │ │ │ │ │- основные требования к │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы противодействия │ │ │ │ │ │ │ │ │ │ │ │угрозам ИБ по отношению к типам │ │ │ │ │ │ │ │ │ │ │ │основных защищаемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов; │ │ │ │ │ │ │ │ │ │ │ │- основные принципы повышения │ │ │ │ │ │ │ │ │ │ │ │уровня осознания и │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ; │ │ │ │ │ │ │ │ │ │ │ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │ │ │выполнения требований политики ИБ?│ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.20 │Разрабатываются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0408 │ │ │ (аналог │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ М13.11) │деятельность в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │ │ │- законодательства Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации; │ │ │ │ │ │ │ │ │ │ │ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │ │ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │ │ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │ │ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │ │ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │ │ │- договорных требований │ │ │ │ │ │ │ │ │ │ │ │организации со сторонними │ │ │ │ │ │ │ │ │ │ │ │организациями; │ │ │ │ │ │ │ │ │ │ │ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │ │ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │ │ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │ │ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов (типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.21 │Корректируются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │ (аналог │документы, регламентирующие │ │ │ │ │ │ │ │ │ │ │ М13.12) │деятельность в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ на основе: │ │ │ │ │ │ │ │ │ │ │ │- законодательства Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации; │ │ │ │ │ │ │ │ │ │ │ │- комплекса БР ИББС, в частности │ │ │ │ │ │ │ │ │ │ │ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │ │ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │ │ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │ │ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │ │ │- договорных требований │ │ │ │ │ │ │ │ │ │ │ │организации со сторонними │ │ │ │ │ │ │ │ │ │ │ │организациями; │ │ │ │ │ │ │ │ │ │ │ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │ │ │выполненной с соответствующей │ │ │ │ │ │ │ │ │ │ │ │уровню разрабатываемого документа │ │ │ │ │ │ │ │ │ │ │ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │ │ │информационных активов (типов │ │ │ │ │ │ │ │ │ │ │ │информационных активов)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.22 │Утвержден ли руководством │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │ (аналог │организации порядок │ │ │ │ │ │ │ │ │ │ │ М13.16) │взаимодействия (координирования │ │ │ │ │ │ │ │ │ │ │ │работы) службы ИБ с работниками, │ │ │ │ │ │ │ │ │ │ │ │ответственными за обеспечение ИБ │ │ │ │ │ │ │ │ │ │ │ │в структурных подразделениях │ │ │ │ │ │ │ │ │ │ │ │организации (в случае наличия в │ │ │ │ │ │ │ │ │ │ │ │структурных подразделениях │ │ │ │ │ │ │ │ │ │ │ │организации работников, │ │ │ │ │ │ │ │ │ │ │ │ответственных за обеспечение ИБ)? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.23 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0345 │ │ │ (аналог │организации процедуры выделения и │ │ │ │ │ │ │ │ │ │ │ М13.18) │распределения ролей в области │ │ │ │ │ │ │ │ │ │ │ │обеспечения ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.24 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0386 │ │ │ (аналог │организации роли по разработке, │ │ │ │ │ │ │ │ │ │ │ М13.20) │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │ │ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.25 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │ (аналог │выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │ │ М13.21) │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │ │ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │ │ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.26 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М15.3)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │реализацией планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │ │ │реализацией требуемых защитных │ │ │ │ │ │ │ │ │ │ │ │мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М28.27 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │ │(аналог М15.4)│выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │реализацией планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │ │ │реализацией требуемых защитных │ │ │ │ │ │ │ │ │ │ │ │мер? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М28 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М29 "Оценка деятельности руководства
организации БС РФ по поддержке реализации СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.1 │Организована ли документально │ обязательный │ │ │ │ │ │ │ 0,1442 │ │ │(аналог М16.1)│оформленная работа с персоналом │ │ │ │ │ │ │ │ │ │ │ │организации в направлении │ │ │ │ │ │ │ │ │ │ │ │повышения осведомленности и │ │ │ │ │ │ │ │ │ │ │ │обучения в области ИБ, включая │ │ │ │ │ │ │ │ │ │ │ │разработку и реализацию планов и │ │ │ │ │ │ │ │ │ │ │ │программ обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ и │ │ │ │ │ │ │ │ │ │ │ │контроля результатов выполнения │ │ │ │ │ │ │ │ │ │ │ │указанных планов? Утверждена ли │ │ │ │ │ │ │ │ │ │ │ │руководством указанная работа? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.2 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1024 │ │ │(аналог М16.6)│организации роли по разработке, │ │ │ │ │ │ │ │ │ │ │ │реализации планов и программ │ │ │ │ │ │ │ │ │ │ │ │обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ и по │ │ │ │ │ │ │ │ │ │ │ │контролю их результатов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.3 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1024 │ │ │(аналог М16.7)│выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │ │ │реализации планов и программ │ │ │ │ │ │ │ │ │ │ │ │обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности в области ИБ и по │ │ │ │ │ │ │ │ │ │ │ │контролю их результатов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.4 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1404 │ │ │(аналог М17.8)│организации роли по обнаружению, │ │ │ │ │ │ │ │ │ │ │ │классификации, реагированию, │ │ │ │ │ │ │ │ │ │ │ │анализу и расследованию │ │ │ │ │ │ │ │ │ │ │ │инцидентов ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.5 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1268 │ │ │(аналог М17.9)│выполнение ролей по обнаружению, │ │ │ │ │ │ │ │ │ │ │ │классификации, реагированию, │ │ │ │ │ │ │ │ │ │ │ │анализу и расследованию │ │ │ │ │ │ │ │ │ │ │ │инцидентов ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.6 │Определен ли в документах │ обязательный │ │ │ │ │ │ │ 0,1442 │ │ │(аналог М18.3)│организации план обеспечения │ │ │ │ │ │ │ │ │ │ │ │непрерывности бизнеса и его │ │ │ │ │ │ │ │ │ │ │ │восстановления после возможного │ │ │ │ │ │ │ │ │ │ │ │прерывания, содержащий инструкции │ │ │ │ │ │ │ │ │ │ │ │и порядок действий работников │ │ │ │ │ │ │ │ │ │ │ │организации, в состав которого │ │ │ │ │ │ │ │ │ │ │ │включены: │ │ │ │ │ │ │ │ │ │ │ │- условия активизации плана; │ │ │ │ │ │ │ │ │ │ │ │- порядок действий, которые │ │ │ │ │ │ │ │ │ │ │ │должны быть предприняты после │ │ │ │ │ │ │ │ │ │ │ │инцидента ИБ (инструкции │ │ │ │ │ │ │ │ │ │ │ │персонала); │ │ │ │ │ │ │ │ │ │ │ │- процедуры восстановления; │ │ │ │ │ │ │ │ │ │ │ │- процедуры тестирования и │ │ │ │ │ │ │ │ │ │ │ │проверки плана; │ │ │ │ │ │ │ │ │ │ │ │- план обучения и повышения │ │ │ │ │ │ │ │ │ │ │ │осведомленности работников │ │ │ │ │ │ │ │ │ │ │ │организации; │ │ │ │ │ │ │ │ │ │ │ │- обязанности работников │ │ │ │ │ │ │ │ │ │ │ │организации с указанием │ │ │ │ │ │ │ │ │ │ │ │ответственных за выполнение │ │ │ │ │ │ │ │ │ │ │ │каждого из положений плана? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1198 │ │ │ (аналог │организации роли по разработке │ │ │ │ │ │ │ │ │ │ │ М18.13) │плана обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса и его восстановления │ │ │ │ │ │ │ │ │ │ │ │после прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М29.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1198 │ │ │ (аналог │выполнение ролей по разработке │ │ │ │ │ │ │ │ │ │ │ М18.14) │плана обеспечения непрерывности │ │ │ │ │ │ │ │ │ │ │ │бизнеса и его восстановления │ │ │ │ │ │ │ │ │ │ │ │после прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М29 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М30 "Оценка деятельности руководства
организации БС РФ по поддержке проверки СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.1 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0921 │ │ │(аналог М19.7)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │выполнением процедур мониторинга │ │ │ │ │ │ │ │ │ │ │ │СОИБ и контроля защитных мер, а │ │ │ │ │ │ │ │ │ │ │ │также с пересмотром указанных │ │ │ │ │ │ │ │ │ │ │ │процедур? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.2 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0921 │ │ │(аналог М19.8)│выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │выполнением процедур мониторинга │ │ │ │ │ │ │ │ │ │ │ │СОИБ и контроля защитных мер, а │ │ │ │ │ │ │ │ │ │ │ │также с пересмотром указанных │ │ │ │ │ │ │ │ │ │ │ │процедур? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.3 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0848 │ │ │(аналог М20.3)│организации и реализована ли │ │ │ │ │ │ │ │ │ │ │ │программа самооценок ИБ, │ │ │ │ │ │ │ │ │ │ │ │содержащая информацию, │ │ │ │ │ │ │ │ │ │ │ │необходимую для планирования и │ │ │ │ │ │ │ │ │ │ │ │организации самооценок ИБ, их │ │ │ │ │ │ │ │ │ │ │ │контроля, анализа и │ │ │ │ │ │ │ │ │ │ │ │совершенствования, а также │ │ │ │ │ │ │ │ │ │ │ │обеспечения их ресурсами, │ │ │ │ │ │ │ │ │ │ │ │необходимыми для эффективного и │ │ │ │ │ │ │ │ │ │ │ │результативного проведения │ │ │ │ │ │ │ │ │ │ │ │указанных самооценок ИБ в │ │ │ │ │ │ │ │ │ │ │ │заданные сроки? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.4 │Доводятся ли результаты │ обязательный │ │ │ │ │ │ │ 0,0943 │ │ │(аналог М20.7)│самооценок ИБ и соответствующие │ │ │ │ │ │ │ │ │ │ │ │отчеты до руководства │ │ │ │ │ │ │ │ │ │ │ │организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.5 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0734 │ │ │(аналог М20.8)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │выполнением программы самооценок │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.6 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0734 │ │ │(аналог М20.9)│выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │выполнением программы самооценок │ │ │ │ │ │ │ │ │ │ │ │ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.7 │Определена ли в документах │ обязательный │ │ │ │ │ │ │ 0,0808 │ │ │(аналог М21.2)│организации и реализована ли │ │ │ │ │ │ │ │ │ │ │ │программа аудитов ИБ, содержащая │ │ │ │ │ │ │ │ │ │ │ │информацию, необходимую для │ │ │ │ │ │ │ │ │ │ │ │планирования и организации │ │ │ │ │ │ │ │ │ │ │ │аудитов ИБ, их контроля, анализа │ │ │ │ │ │ │ │ │ │ │ │и совершенствования, а также │ │ │ │ │ │ │ │ │ │ │ │обеспечения их ресурсами, │ │ │ │ │ │ │ │ │ │ │ │необходимыми для эффективного и │ │ │ │ │ │ │ │ │ │ │ │результативного проведения │ │ │ │ │ │ │ │ │ │ │ │указанных аудитов ИБ в заданные │ │ │ │ │ │ │ │ │ │ │ │сроки? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.8 │Доводятся ли результаты аудитов │ обязательный │ │ │ │ │ │ │ 0,0969 │ │ │(аналог М21.6)│ИБ и соответствующие отчеты до │ │ │ │ │ │ │ │ │ │ │ │руководства организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.9 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0805 │ │ │(аналог М21.8)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │организацией выполнения программ │ │ │ │ │ │ │ │ │ │ │ │аудитов и планов отдельных │ │ │ │ │ │ │ │ │ │ │ │аудитов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0805 │ │ │(аналог М21.9)│выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │организацией выполнения программ │ │ │ │ │ │ │ │ │ │ │ │аудитов и планов отдельных │ │ │ │ │ │ │ │ │ │ │ │внешних аудитов? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.11 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,0756 │ │ │(аналог М22.9)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │процедурами анализа │ │ │ │ │ │ │ │ │ │ │ │функционирования СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М30.12 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0756 │ │ │ (аналог │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ М22.10) │процедурами анализа │ │ │ │ │ │ │ │ │ │ │ │функционирования СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М30 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М31 "Оценка деятельности руководства
организации БС РФ по анализу СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.1 │Утвержден ли в организации │ обязательный │ │ │ │ │ │ │ 0,1376 │ │ │(аналог М23.1)│перечень документов (данных), │ │ │ │ │ │ │ │ │ │ │ │необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.2 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1464 │ │ │(аналог М23.2)│необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, отчеты с │ │ │ │ │ │ │ │ │ │ │ │результатами: │ │ │ │ │ │ │ │ │ │ │ │- мониторинга СОИБ и контроля │ │ │ │ │ │ │ │ │ │ │ │защитных мер; │ │ │ │ │ │ │ │ │ │ │ │- анализа функционирования СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- аудитов ИБ; │ │ │ │ │ │ │ │ │ │ │ │- самооценок ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.3 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1318 │ │ │(аналог М23.3)│необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, документы, │ │ │ │ │ │ │ │ │ │ │ │содержащие информацию: │ │ │ │ │ │ │ │ │ │ │ │- о способах и методах защиты, │ │ │ │ │ │ │ │ │ │ │ │защитных мерах или процедурах их │ │ │ │ │ │ │ │ │ │ │ │использования, которые могли бы │ │ │ │ │ │ │ │ │ │ │ │использоваться для улучшения │ │ │ │ │ │ │ │ │ │ │ │функционирования СОИБ; │ │ │ │ │ │ │ │ │ │ │ │- о новых выявленных уязвимостях │ │ │ │ │ │ │ │ │ │ │ │и угрозах ИБ; │ │ │ │ │ │ │ │ │ │ │ │- о действиях, предпринятых по │ │ │ │ │ │ │ │ │ │ │ │итогам предыдущих анализов СОИБ, │ │ │ │ │ │ │ │ │ │ │ │осуществленных руководством; │ │ │ │ │ │ │ │ │ │ │ │- об изменениях, которые могли бы │ │ │ │ │ │ │ │ │ │ │ │повлиять на организацию СОИБ, │ │ │ │ │ │ │ │ │ │ │ │например изменения в │ │ │ │ │ │ │ │ │ │ │ │законодательстве Российской │ │ │ │ │ │ │ │ │ │ │ │Федерации и (или) в положениях │ │ │ │ │ │ │ │ │ │ │ │стандартов Банка России; │ │ │ │ │ │ │ │ │ │ │ │- о выявленных инцидентах ИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.4 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1154 │ │ │(аналог М23.4)│необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, документы, │ │ │ │ │ │ │ │ │ │ │ │подтверждающие выполнение │ │ │ │ │ │ │ │ │ │ │ │требуемой деятельности по │ │ │ │ │ │ │ │ │ │ │ │обеспечению ИБ, например │ │ │ │ │ │ │ │ │ │ │ │выполнение планов обработки │ │ │ │ │ │ │ │ │ │ │ │рисков? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.5 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1228 │ │ │(аналог М23.5)│необходимых для формирования │ │ │ │ │ │ │ │ │ │ │ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │ │ │руководству с целью проведения │ │ │ │ │ │ │ │ │ │ │ │анализа СОИБ, документы, │ │ │ │ │ │ │ │ │ │ │ │подтверждающие выполнение │ │ │ │ │ │ │ │ │ │ │ │требований непрерывности бизнеса │ │ │ │ │ │ │ │ │ │ │ │и его восстановления после │ │ │ │ │ │ │ │ │ │ │ │прерывания? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.6 │Определен ли в организации и │ обязательный │ │ │ │ │ │ │ 0,1104 │ │ │(аналог М23.6)│утвержден ли руководством план │ │ │ │ │ │ │ │ │ │ │ │выполнения деятельности по │ │ │ │ │ │ │ │ │ │ │ │контролю и анализу СОИБ, │ │ │ │ │ │ │ │ │ │ │ │содержащий, в частности, │ │ │ │ │ │ │ │ │ │ │ │положения по проведению совещаний │ │ │ │ │ │ │ │ │ │ │ │на уровне руководства, на которых │ │ │ │ │ │ │ │ │ │ │ │в том числе производятся поиск и │ │ │ │ │ │ │ │ │ │ │ │анализ проблем ИБ, влияющих на │ │ │ │ │ │ │ │ │ │ │ │бизнес организации? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.7 │Определены ли в документах │ обязательный │ │ │ │ │ │ │ 0,1178 │ │ │(аналог М23.7)│организации роли, связанные с │ │ │ │ │ │ │ │ │ │ │ │подготовкой информации, │ │ │ │ │ │ │ │ │ │ │ │необходимой для анализа СОИБ │ │ │ │ │ │ │ │ │ │ │ │руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М31.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1178 │ │ │(аналог М23.8)│выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │ │ │подготовкой информации, │ │ │ │ │ │ │ │ │ │ │ │необходимой для анализа СОИБ │ │ │ │ │ │ │ │ │ │ │ │руководством? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М31 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Групповой показатель М32 "Оценка деятельности руководства
по поддержке совершенствования СОИБ"
┌──────────────┬──────────────────────────────────┬───────────────┬─────────────────────────────────┬────────────┬────────────┐ │ Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного показателя ИБ │Коэффициент │Вычисленное │ │ частного │ │ выполнения ├────┬─────┬─────┬─────┬────┬─────┤ значимости │ значение │ │показателя ИБ │ │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │ н/о │ частного │ показателя │ │ │ │ │ │ │ │ │ │ │ показателя │ ИБ │ │ │ │ │ │ │ │ │ │ │ ИБ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М32.1 │Санкционирует и контролирует ли │ обязательный │ │ │ │ │ │ │ 0,2560 │ │ │(аналог М24.6)│руководство службы ИБ организации │ │ │ │ │ │ │ │ │ │ │ │деятельность, связанную с │ │ │ │ │ │ │ │ │ │ │ │реализацией тактических улучшений │ │ │ │ │ │ │ │ │ │ │ │СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М32.2 │Назначаются ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,2248 │ │ │(аналог М24.8)│реализацию решений по тактическим │ │ │ │ │ │ │ │ │ │ │ │улучшениям СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М32.3 │Санкционирует и контролирует ли │ обязательный │ │ │ │ │ │ │ 0,2816 │ │ │(аналог М25.7)│руководство организации │ │ │ │ │ │ │ │ │ │ │ │деятельность, связанную с │ │ │ │ │ │ │ │ │ │ │ │реализацией стратегических │ │ │ │ │ │ │ │ │ │ │ │улучшений СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┼──────────────────────────────────┼───────────────┼────┼─────┼─────┼─────┼────┼─────┼────────────┼────────────┤ │ М32.4 │Назначаются ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,2376 │ │ │ (аналог │реализацию решений по │ │ │ │ │ │ │ │ │ │ │ М25.10) │стратегическим улучшениям СОИБ? │ │ │ │ │ │ │ │ │ │ ├──────────────┴──────────────────────────────────┴───────────────┴────┴─────┴─────┴─────┴────┴─────┴────────────┼────────────┤ │Итоговая оценка группового показателя М32 │ │ └────────────────────────────────────────────────────────────────────────────────────────────────────────────────┴────────────┘
Форма листов для сбора свидетельств аудита ИБ ┌─────────────┬────────────────────────┬──────────────┬──────────────┬────┐ │ Обозначение │Источники свидетельств и│ Кем │ Подпись │Дата│ │ частного │ свидетельства аудита ИБ│предоставлены │ сотрудника/ │ │ │показателя ИБ│ (документы, результаты │свидетельства │ руководителя │ │ │ │ опроса или наблюдений) │ аудита ИБ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ ├─────────────┼────────────────────────┼──────────────┼──────────────┼────┤ │ │ │ │ │ │ └─────────────┴────────────────────────┴──────────────┴──────────────┴────┘ _________________________________ (подпись) _________________________________ (подпись) _________________________________ (подпись)
Ключевые слова: банковская система Российской Федерации, информационная безопасность, методика оценки соответствия, показатели информационной безопасности, текущий уровень информационной безопасности, система менеджмента информационной безопасности, осознание информационной безопасности, требования информационной безопасности.
Популярные статьи и материалы
N 400-ФЗ от 28.12.2013
ФЗ о страховых пенсиях
N 69-ФЗ от 21.12.1994
ФЗ о пожарной безопасности
N 40-ФЗ от 25.04.2002
ФЗ об ОСАГО
N 273-ФЗ от 29.12.2012
ФЗ об образовании
N 79-ФЗ от 27.07.2004
ФЗ о государственной гражданской службе
N 275-ФЗ от 29.12.2012
ФЗ о государственном оборонном заказе
N2300-1 от 07.02.1992 ЗППП
О защите прав потребителей
N 273-ФЗ от 25.12.2008
ФЗ о противодействии коррупции
N 38-ФЗ от 13.03.2006
ФЗ о рекламе
N 7-ФЗ от 10.01.2002
ФЗ об охране окружающей среды
N 3-ФЗ от 07.02.2011
ФЗ о полиции
N 402-ФЗ от 06.12.2011
ФЗ о бухгалтерском учете
N 135-ФЗ от 26.07.2006
ФЗ о защите конкуренции
N 99-ФЗ от 04.05.2011
ФЗ о лицензировании отдельных видов деятельности
N 14-ФЗ от 08.02.1998
ФЗ об ООО
N 223-ФЗ от 18.07.2011
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
N 2202-1 от 17.01.1992
ФЗ о прокуратуре
N 127-ФЗ 26.10.2002
ФЗ о несостоятельности (банкротстве)
N 152-ФЗ от 27.07.2006
ФЗ о персональных данных
N 44-ФЗ от 05.04.2013
ФЗ о госзакупках
N 229-ФЗ от 02.10.2007
ФЗ об исполнительном производстве
N 53-ФЗ от 28.03.1998
ФЗ о воинской службе
N 395-1 от 02.12.1990
ФЗ о банках и банковской деятельности
ст. 333 ГК РФ
Уменьшение неустойки
ст. 317.1 ГК РФ
Проценты по денежному обязательству
ст. 395 ГК РФ
Ответственность за неисполнение денежного обязательства
ст 20.25 КоАП РФ
Уклонение от исполнения административного наказания
ст. 81 ТК РФ
Расторжение трудового договора по инициативе работодателя
ст. 78 БК РФ
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
ст. 12.8 КоАП РФ
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
ст. 161 БК РФ
Особенности правового положения казенных учреждений
ст. 77 ТК РФ
Общие основания прекращения трудового договора
ст. 144 УПК РФ
Порядок рассмотрения сообщения о преступлении
ст. 125 УПК РФ
Судебный порядок рассмотрения жалоб
ст. 24 УПК РФ
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
ст. 126 АПК РФ
Документы, прилагаемые к исковому заявлению
ст. 49 АПК РФ
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
ст. 125 АПК РФ
Форма и содержание искового заявления