|  |
www.lawsforall.ru / Распоряжение
"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20xx" СТО БР ИББС-1.2-2010"
(принят и введен в действие Распоряжением Банка России от 21.06.2010 № Р-705)
Официальная публикация в СМИ:
"Вестник Банка России", № 36 - 37, 29.06.2010
------------------------------------------------------------------
--> примечание.
Начало действия документа - 21.06.2010.
------------------------------------------------------------------
--> примечание.
С 21 июня 2010 года действует Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010, принятый и введенный в действие Распоряжением ЦБ РФ от 21.06.2010 № Р-705.
СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.2-2010
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИКА
ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ТРЕБОВАНИЯМ СТО БР ИББС-1.0-20xx
Дата введения: 2010-06-21
Предисловие
1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 21 июня 2010 года № Р-705.
2. ВЗАМЕН СТО БР ИББС-1.2-2009.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Введение
Стандартом Банка России СТО БР ИББС-1.0-20xx "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" с целью проверки уровня информационной безопасности (ИБ) как самого Банка России, так и организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения регулярной внешней и внутренней оценки ИБ, а также самооценки ИБ.
Настоящий стандарт устанавливает способы определения степени выполнения требований Стандарта Банка России СТО БР ИББС-1.0-20xx "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", а также итогового уровня соответствия ИБ требованиям Стандарта Банка России СТО БР ИББС-1.0-20xx "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" при проведении внутренней и (или) внешней оценки и самооценки ИБ.
1. Область применения
Настоящая методика распространяется на организации БС РФ, а также на организации, проводящие оценку уровня обеспечения ИБ организации БС РФ в соответствии с требованиями Стандарта Банка России СТО БР ИББС-1.0-20xx "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0).
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организации БС РФ, а также в договорных документах, устанавливающих отношения сторон при проведении внешних оценок ИБ.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативными актами Банка России или условиями договоров.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО БР ИББС-1.0, стандартом Банка России СТО БР ИББС-1.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности", а также следующие термины с соответствующими определениями.
3.1. Показатель информационной безопасности: Мера или характеристика для оценки информационной безопасности.
3.2. Проверяющая организация: Организация, проводящая оценку соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0.
3.3. Проверяемая организация: Организация БС РФ, информационная безопасность которой подвергается оценке на соответствие требованиям СТО БР ИББС-1.0.
4. Обозначения и сокращения
АБС - автоматизированная банковская система;
БС - банковская система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
ИСПДн - информационные системы персональных данных;
НСД - несанкционированный доступ;
НРД - нерегламентированные действия в рамках предоставленных полномочий;
РФ - Российская Федерация;
СКЗИ - средство криптографической защиты информации;
СМИБ - система менеджмента информационной безопасности;
СИБ - система информационной безопасности;
СОИБ - система обеспечения информационной безопасности;
ЭВМ - электронная вычислительная машина;
ЭЦП - электронная цифровая подпись;
�- коэффициент значимости частного показателя;
EV1 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации";
EV2 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации";
EV3 - оценка степени выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации";
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;
�- оценка степени выполнения требований СТО БР ИББС-1.0 для группового показателя;
�- оценка степени выполнения требований СТО БР ИББС-1.0 для частного показателя;
i - номер группового показателя;
j - номер частного показателя;
Mij - обозначение частного показателя;
R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
5. Общие положения
5.1. Целью настоящей методики является стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ (далее - организации) требованиям СТО БР ИББС-1.0 по направлениям оценки:
- текущий уровень ИБ организации;
- менеджмент ИБ организации;
- уровень осознания ИБ организации.
5.2. Задачами настоящей методики являются:
- определение состава показателей ИБ и способов их оценивания;
- определение способа оценивания текущего уровня ИБ организации с помощью установления степени выполнения требований, определенных в разделе 7 СТО БР ИББС-1.0;
- определение способа оценивания менеджмента ИБ организации и уровня осознания ИБ организации с помощью установления степени выполнения требований, определенных в разделе 8 СТО БР ИББС-1.0;
- определение итогового уровня соответствия ИБ организации требованиям СТО БР ИББС-1.0.
6. Показатели информационной безопасности. Способы
оценивания показателей
6.1. Для оценки степени соответствия ИБ организации требованиям СТО БР ИББС-1.0 используются групповые и частные показатели ИБ. Групповые показатели ИБ образуют структуру направлений оценки, детализируя оценки текущего уровня ИБ организации, менеджмента и уровня осознания ИБ. Оценки групповых показателей (�) используются для получения оценки по направлениям (EV1, EV2 и EV3). Частные показатели ИБ входят в состав групповых показателей и представлены в виде вопросов, ответы на которые дают возможность определить оценки (�), которые затем формируют оценки � групповых показателей.
Приложение А содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ, метрику (шкалу) для оценивания частных показателей и коэффициенты значимости частных показателей ИБ, используемые при вычислении группового показателя.
6.2. Частные показатели разделены на две категории. Первую категорию составляют частные показатели, отражающие требования СТО БР ИББС-1.0, выполнение которых обязательно в организации. Вторую категорию составляют частные показатели, отражающие положения СТО БР ИББС-1.0, выполнение которых рекомендуется в организации. Информация о принадлежности частных показателей к указанным категориям определена в формах Приложения А.
6.3. Способ оценивания частного показателя зависит от его принадлежности к одной из категорий, определенных в п. 6.2 настоящей методики.
6.4. Оценка � частного показателя формируется на основании выявленной аудиторской группой степени выполнения требований посредством экспертного оценивания.
Оценивание частного показателя должно сопровождаться внесением символа, например, "X", в соответствующую графу представленных в Приложении А форм.
6.5. Для частных показателей, выполнение которых обязательно, устанавливается следующая шкала степени их выполнения:
- "нет" - оценке присваивается значение, равное нулю;
- "частично" - оценке присваивается значение 0,25, 0,5 или 0,75;
- "да" - оценке присваивается значение, равное единице.
Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафиксировано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.6. Для частных показателей, выполнение которых рекомендуется, устанавливается следующая шкала степени их выполнения:
- "да" - оценке присваивается значение, равное единице;
- "нет" - частный показатель определяется как неоцениваемый (должна быть заполнена графа "н/о" - нет оценки) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ в рамках группового показателя.
6.7. При проведении оценки частных показателей, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать следующий общий подход:
Таблица 1. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ
-----------T--------------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦показателя¦ ¦
¦ ИБ ¦ ¦
+----------+--------------------------------------------------------------+
¦ 0 ¦Требования частного показателя ИБ не установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации и ¦
¦ ¦не выполняются ¦
+----------+--------------------------------------------------------------+
¦ 0 ¦Требования частного показателя ИБ частично установлены в ¦
¦ ¦нормативных документах проверяемой организации, но не ¦
¦ ¦выполняются ¦
+----------+--------------------------------------------------------------+
¦ 0,25 ¦Требования частного показателя ИБ полностью установлены в ¦
¦ ¦нормативных документах проверяемой организации, но не ¦
¦ ¦выполняются ¦
+----------+--------------------------------------------------------------+
¦ 0,25 ¦Требования частного показателя ИБ не установлены во внутренних¦
¦ ¦нормативных документах проверяемой организации и выполняются ¦
¦ ¦в неполном объеме ¦
+----------+--------------------------------------------------------------+
¦ 0,25 ¦Требования частного показателя ИБ частично установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации и ¦
¦ ¦выполняются в неполном объеме ¦
+----------+--------------------------------------------------------------+
¦ 0,5 ¦Требования частного показателя ИБ полностью установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации и ¦
¦ ¦выполняются в неполном объеме ¦
+----------+--------------------------------------------------------------+
¦ 0,5 ¦Требования частного показателя ИБ не установлены во внутренних¦
¦ ¦нормативных документах проверяемой организации, но ¦
¦ ¦выполняются в полном объеме ¦
+----------+--------------------------------------------------------------+
¦ 0,75 ¦Требования частного показателя ИБ частично установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации, но ¦
¦ ¦выполняются в полном объеме ¦
+----------+--------------------------------------------------------------+
¦ 1 ¦Требования частного показателя ИБ полностью установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации и ¦
¦ ¦выполняются в полном объеме ¦
L----------+---------------------------------------------------------------
6.8. При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий общий подход:
Таблица 2. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень документированности требований ИБ
-----------T--------------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦показателя¦ ¦
¦ ИБ ¦ ¦
+----------+--------------------------------------------------------------+
¦ 0 ¦Требования частного показателя ИБ не установлены во внутренних¦
¦ ¦нормативных документах проверяемой организации ¦
+----------+--------------------------------------------------------------+
¦ 0,5 ¦Требования частного показателя ИБ частично установлены в ¦
¦ ¦нормативных документах проверяемой организации ¦
+----------+--------------------------------------------------------------+
¦ 1 ¦Требования частного показателя ИБ полностью установлены в ¦
¦ ¦нормативных документах проверяемой организации ¦
L----------+---------------------------------------------------------------
6.9. При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий общий подход:
Таблица 3. Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ
-----------T--------------------------------------------------------------¬
¦ Оценка ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ частного ¦ ¦
¦показателя¦ ¦
¦ ИБ ¦ ¦
+----------+--------------------------------------------------------------+
¦ 0 ¦Требования частного показателя ИБ не выполняются ¦
+----------+--------------------------------------------------------------+
¦ 0,5 ¦Требования частного показателя ИБ выполняются в неполном ¦
¦ ¦объеме ¦
+----------+--------------------------------------------------------------+
¦ 1 ¦Требования частного показателя ИБ выполняются в полном объеме ¦
L----------+---------------------------------------------------------------
6.10. В случаях, если при проведении оценки частного показателя используется ограниченный набор объектов, входящих в область аудита ИБ (например, ограниченная выборка автоматизированных банковских систем), и по результатам оценивания частного показателя получены результаты, указывающие на полное выполнение или полное невыполнение/полную документированность или отсутствие документированности соответствующих требований ИБ, рекомендуется расширить набор указанных объектов (выборку) для подтверждения или коррекции полученных результатов.
6.11. Оценка частного показателя ИБ должна основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:
- внутренние нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ организации;
- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;
- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ.
В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о степени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.
Полученные свидетельства аудита ИБ и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие внутренние нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы соответственно.
6.12. Оценка группового показателя (�), за исключением группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ", вычисляется из оценок входящих в него частных показателей (�) с учетом коэффициентов значимости �, определяющих важность частного показателя для оценивания группового показателя:
�.
При формировании коэффициентов значимости учитывалось следующее условие нормировки:
�,
где k - число частных показателей в i-м групповом показателе.
Коэффициенты значимости � для каждого частного показателя, за исключением частных показателей группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ", приведены в Приложении А.
6.13. Оценка группового показателя (�) для группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ" определяется по наименьшему значению оценок входящих в него частных показателей. При этом для группового показателя M9 "Общие требования по обработке персональных данных в организации БС РФ" коэффициенты значимости не определены.
6.14. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. В этом случае групповой показатель не учитывается в формулах расчета для �, �, �, �, �, EV2 или EV3 (см. разделы 7, 8, 9) с соответствующей корректировкой в формулах расчета количества оцениваемых групповых показателей. Оценки для таких групповых показателей не отображаются на круговой диаграмме (см. раздел 11).
7. Оценка текущего уровня информационной безопасности
организации банковской системы Российской Федерации
7.1. Оценка текущего уровня ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу;
- обеспечение ИБ на стадиях жизненного цикла АБС;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической защиты информации;
- обеспечение ИБ банковских платежных технологических процессов;
- обеспечение ИБ банковских информационных технологических процессов;
- обработка персональных данных в организации БС РФ;
- обеспечение ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные.
7.2. Групповые показатели по направлению оценки "текущий уровень ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 4. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0
------------T------------------------------------------------T------------¬
¦Обозначение¦ Наименование группового показателя ИБ ¦Структурный ¦
¦группового ¦ ¦ элемент ¦
¦показателя ¦ ¦ СТО БР ¦
¦ ИБ ¦ ¦ ИББС-1.0 ¦
+-----------+------------------------------------------------+------------+
¦ M1 ¦Обеспечение ИБ при назначении и распределении ¦ п. 7.2 ¦
¦ ¦ролей и обеспечении доверия к персоналу ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M2 ¦Обеспечение ИБ на стадиях жизненного цикла АБС ¦ п. 7.3 ¦
+-----------+------------------------------------------------+------------+
¦ M3 ¦Обеспечение ИБ при управлении доступом и ¦ п. 7.4 ¦
¦ ¦регистрации ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M4 ¦Обеспечение ИБ средствами антивирусной защиты ¦ п. 7.5 ¦
+-----------+------------------------------------------------+------------+
¦ M5 ¦Обеспечение ИБ при использовании ресурсов сети ¦ п. 7.6 ¦
¦ ¦Интернет ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M6 ¦Обеспечение ИБ при использовании средств ¦ п. 7.7 ¦
¦ ¦криптографической защиты информации ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M7 ¦Обеспечение ИБ банковских платежных ¦ п. 7.8 ¦
¦ ¦технологических процессов ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M8 ¦Обеспечение ИБ банковских информационных ¦ п. 7.9 ¦
¦ ¦технологических процессов ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M9 ¦Общие требования по обработке персональных ¦ п. 7.10 ¦
¦ ¦данных в организации БС РФ ¦ ¦
+-----------+------------------------------------------------+------------+
¦ M10 ¦Общие требования по обеспечению информационной ¦ п. 7.11 ¦
¦ ¦безопасности банковских технологических ¦ ¦
¦ ¦процессов, в рамках которых обрабатываются ¦ ¦
¦ ¦персональные данные ¦ ¦
L-----------+------------------------------------------------+-------------
7.3. Частные показатели по направлению оценки "текущий уровень ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "текущий уровень ИБ организации" (показатели M1 � M10), метрики, а также коэффициенты значимости � приведены в Приложении А.
7.4. Оценивание частных показателей в рамках групповых показателей M1 � M6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС-1.0 по следующим направлениям:
- банковский платежный технологический процесс (M7);
- банковский информационный технологический процесс (M8);
- банковский технологический процесс, в рамках которого обрабатываются персональные данные (M10).
7.5. Оценки � и �, полученные в результате оценивания групповых показателей ИБ M1 � M10, вносятся в соответствующие графы представленных в Приложении А форм.
7.6. Итоговая оценка EV1, отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ организации", определяется по наименьшему значению из следующих оценок:
�- степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс;
�- степень выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс;
�- степень выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
�- степень выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных.
7.7. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский платежный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей M1 � M6 выбираются по результатам их оценивания, применительно к банковскому платежному технологическому процессу:
�.
Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих банковский информационный технологический процесс, вычисляется по формуле, в которой оценки групповых показателей M1 � M6 выбираются по результатам их оценивания, применительно к банковскому информационному технологическому процессу:
�.
Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных (ИСПДн), без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств криптографической защиты информации (СКЗИ) вычисляется по формуле, в которой оценки групповых показателей M1 � M5 выбираются по результатам их оценивания, применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:
�.
Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн, с учетом оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ вычисляется по формуле, в которой оценки групповых показателей M1 � M6 выбираются по результатам их оценивания, применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные в ИСПДн:
�.
Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных, вычисляется по формуле:
�.
7.8. Оценки �, полученные в результате оценивания групповых показателей ИБ M1 � M10, отображаются на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел 11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV1.
8. Оценка менеджмента информационной безопасности
организации банковской системы Российской Федерации
8.1. Оценка менеджмента ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- организация и функционирование службы ИБ организации;
- определение/коррекция области действия СОИБ;
- выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;
- разработка планов обработки рисков нарушения ИБ;
- разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;
- принятие руководством организации решений о реализации и эксплуатации СОИБ;
- организация реализации планов обработки рисков нарушения ИБ;
- разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;
- организация обнаружения и реагирования на инциденты безопасности;
- организация обеспечения непрерывности бизнеса и его восстановления после прерываний;
- мониторинг и контроль защитных мер;
- проведение самооценки ИБ;
- проведение внешнего аудита ИБ;
- анализ функционирования СОИБ;
- анализ СОИБ со стороны руководства организации;
- принятие решений по тактическим улучшениям СОИБ;
- принятие решений по стратегическим улучшениям СОИБ.
8.2. Групповые показатели по направлению оценки "менеджмент ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 5. Соответствие групповых показателей ИБ требованиям к СМИБ, представленным в разделе 8 СТО БР ИББС-1.0
-------------T----------------------------------------------T-------------¬
¦Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент ¦
¦ показателя ¦ ¦ СТО БР ¦
¦ ИБ ¦ ¦ ИББС-1.0 ¦
+------------+----------------------------------------------+-------------+
¦ M11 ¦Организация и функционирование службы ИБ ¦ п. 8.2 ¦
¦ ¦организации ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M12 ¦Определение/коррекция области действия СОИБ ¦ п. 8.3 ¦
+------------+----------------------------------------------+-------------+
¦ M13 ¦Выбор/коррекция подхода к оценке рисков ¦ п. 8.4 ¦
¦ ¦нарушения ИБ и проведение оценки рисков ¦ ¦
¦ ¦нарушения ИБ ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M14 ¦Разработка планов обработки рисков нарушения ¦ п. 8.5 ¦
¦ ¦ИБ ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M15 ¦Разработка/коррекция внутренних документов, ¦ п. 8.6 ¦
¦ ¦регламентирующих деятельность в области ¦ ¦
¦ ¦обеспечения ИБ ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M16 ¦Принятие руководством организации решений о ¦ п. 8.7 ¦
¦ ¦реализации и эксплуатации СОИБ ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M17 ¦Организация реализации планов внедрения СОИБ ¦ п. 8.8 ¦
+------------+----------------------------------------------+-------------+
¦ M18 ¦Разработка и организация реализации программ ¦ п. 8.9 ¦
¦ ¦по обучению и повышению осведомленности в ¦ ¦
¦ ¦области ИБ ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M19 ¦Организация обнаружения и реагирования на ¦ п. 8.10 ¦
¦ ¦инциденты безопасности ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M20 ¦Организация обеспечения непрерывности бизнеса ¦ п. 8.11 ¦
¦ ¦и его восстановления после прерываний ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M21 ¦Мониторинг и контроль защитных мер ¦ п. 8.12 ¦
+------------+----------------------------------------------+-------------+
¦ M22 ¦Проведение самооценки ИБ ¦ п. 8.13 ¦
+------------+----------------------------------------------+-------------+
¦ M23 ¦Проведение аудита ИБ ¦ п. 8.14 ¦
+------------+----------------------------------------------+-------------+
¦ M24 ¦Анализ функционирования СОИБ ¦ п. 8.15 ¦
+------------+----------------------------------------------+-------------+
¦ M25 ¦Анализ СОИБ со стороны руководства организации¦ п. 8.16 ¦
+------------+----------------------------------------------+-------------+
¦ M26 ¦Принятие решений по тактическим улучшениям ¦ п. 8.17 ¦
¦ ¦СОИБ ¦ ¦
+------------+----------------------------------------------+-------------+
¦ M27 ¦Принятие решений по стратегическим улучшениям ¦ п. 8.18 ¦
¦ ¦СОИБ ¦ ¦
L------------+----------------------------------------------+--------------
8.3. Частные показатели по направлению оценки "менеджмент ИБ организации" отражают отдельные требования ИБ СТО БР ИББС-1.0, предъявляемые по каждой из областей. Частные показатели по направлению оценки "менеджмент ИБ организации" (показатели M11 � M27), метрики, а также коэффициенты значимости � для каждого частного показателя приведены в Приложении А.
8.4. Оценки � и �, полученные в результате оценивания групповых показателей ИБ M11 � M27, вносятся в соответствующие графы представленных в Приложении А форм.
8.5. Итоговая оценка EV2, отражающая степени выполнения требований СТО БР ИББС-1.0 по направлению "менеджмент ИБ организации", вычисляется по формуле:
�.
8.6. Оценки �, полученные в результате оценивания групповых показателей ИБ M11 � M27, отображаются на круговой диаграмме (см. раздел 11) в секторах с 11-го по 27-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
8.7. Оценка EV2 отображается на круговой диаграмме (см. раздел 11) в секторах с 11-го по 27-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.
9. Оценка уровня осознания информационной безопасности
организации банковской системы Российской Федерации
9.1. Оценка уровня осознания ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- деятельность руководства организации по поддержке функционирования службы ИБ организации;
- деятельность руководства организации по принятию решений о реализации и эксплуатации СОИБ;
- деятельность руководства организации по поддержке планирования СОИБ;
- деятельность руководства организации по поддержке реализации СОИБ;
- деятельность руководства организации по поддержке проверки СОИБ;
- деятельность руководства организации по анализу СОИБ;
- деятельность руководства организации по поддержке совершенствования СОИБ.
9.2. Групповые показатели по направлению оценки "уровень осознания ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 6 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.
Таблица 6. Соответствие групповых показателей ИБ требованиям, представленным в разделе 8 СТО БР ИББС-1.0
------------T---------------------------------------------T---------------¬
¦Обозначение¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦группового ¦ ¦элемент СТО БР ¦
¦показателя ¦ ¦ ИББС-1.0 ¦
¦ ИБ ¦ ¦ ¦
+-----------+---------------------------------------------+---------------+
¦ M28 ¦Оценка деятельности руководства организации ¦ п. 8.2 ¦
¦ ¦по поддержке функционирования службы ИБ ¦ ¦
¦ ¦организации ¦ ¦
+-----------+---------------------------------------------+---------------+
¦ M29 ¦Оценка деятельности руководства организации ¦ п. 8.7 ¦
¦ ¦по принятию решений о реализации и ¦ ¦
¦ ¦эксплуатации ¦ ¦
+-----------+---------------------------------------------+---------------+
¦ M30 ¦Оценка деятельности руководства организации ¦ пп. 8.3, 8.4, ¦
¦ ¦по поддержке планирования СОИБ ¦ 8.5, 8.6, 8.8 ¦
+-----------+---------------------------------------------+---------------+
¦ M31 ¦Оценка деятельности руководства организации ¦пп. 8.9, 8.10, ¦
¦ ¦по поддержке реализации СОИБ ¦ 8.11 ¦
+-----------+---------------------------------------------+---------------+
¦ M32 ¦Оценка деятельности руководства организации ¦ пп. 8.12, ¦
¦ ¦по поддержке проверки СОИБ ¦ 8.13, 8.14, ¦
¦ ¦ ¦ 8.15 ¦
+-----------+---------------------------------------------+---------------+
¦ M33 ¦Оценка деятельности руководства организации ¦ п. 8.16 ¦
¦ ¦по анализу СОИБ ¦ ¦
+-----------+---------------------------------------------+---------------+
¦ M34 ¦Оценка деятельности руководства организации ¦пп. 8.17, 8.18 ¦
¦ ¦по поддержке совершенствования СОИБ ¦ ¦
L-----------+---------------------------------------------+----------------
9.3. Частные показатели по направлению оценки "уровень осознания ИБ организации" отражают отдельные требования СТО БР ИББС-1.0 к СМИБ организации, относящиеся к деятельности руководства организации. Частные показатели по направлению оценки "уровень осознания ИБ организации" (показатели M28 � M34), метрики, а также коэффициенты значимости � для каждого частного показателя приведены в Приложении А.
9.4. Оценки � и �, полученные в результате оценивания групповых показателей ИБ M28 � M34, вносятся в соответствующие графы представленных в Приложении А форм.
9.5. Итоговая оценка EV3, отражающая степень выполнения требований СТО БР ИББС-1.0 по направлению "уровень осознания ИБ организации", вычисляется по формуле:
�.
9.6. Оценки �, полученные в результате оценивания групповых показателей ИБ M28 � M34, отображаются на круговой диаграмме (см. раздел 11) в секторах с 28-го по 34-й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.
9.7. Оценка EV3 отображается на круговой диаграмме (см. раздел 11) в секторах с 28-го по 34-й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV3.
10. Особенности оценки степени выполнения требований
СТО БР ИББС-1.0, регламентирующих защиту персональных
данных в информационных системах персональных данных
10.1. Для оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ и формирования оценки � следует использовать уточняющие вопросы, которые детализируют и конкретизируют частные показатели ИБ.
Уточняющие вопросы составлены на основе положений РС БР ИББС-2.3 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации".
Перечень указанных уточняющих вопросов, а также их связь с частными показателями содержится в Приложении В (таблица 1 и таблица 2 соответственно).
Если в конкретной организации БС РФ отдельные требования РС БР ИББС-2.3 заменены иными требованиями, обеспечивающими эквивалентный (аналогичный) уровень безопасности персональных данных, то соответствующие изменения должны быть внесены в перечень уточняющих вопросов в Приложении В.
10.2. Для проведения оценки соответствия ИБ в части информационных систем персональных данных необходимо провести оценивание частных показателей настоящего стандарта, попадающих в область оценки, используя все соответствующие частным показателям детализирующие и конкретизирующие вопросы Приложения В. Для этого необходимо:
- на основании ссылок на частный показатель, приведенных в Приложении В, и в соответствии с классом информационной системы персональных данных составить перечень вопросов, соответствующих оцениваемому частному показателю (или воспользоваться таблицей соответствия частных показателей и вопросов, приведенной в Приложении В);
- провести оценивание вопросов Приложения В из перечня вопросов, соответствующих оцениваемому частному показателю;
- провести оценивание частного показателя настоящего стандарта, используя в том числе оценки для вопросов Приложения В.
10.3. Оценка вопросов Приложения В формируется на основании выявленной степени выполнения проверяемого требования посредством экспертного оценивания. Устанавливается следующая шкала степени выполнения проверяемых требований:
- "Выполняется в полном объеме";
- "Выполняется не в полном объеме";
- "Не выполняется".
Оценка вопросов Приложения В должна основываться на свидетельствах аудита ИБ, приведенных в п. 6.11 настоящего стандарта.
10.4. Оценивание частных показателей следует проводить в соответствии с рекомендуемыми критериями выставления оценок частных показателей информационной безопасности, определенными в п. 6.7 настоящего стандарта.
Оценивание всех вопросов из составленного перечня вопросов Приложения В является необходимым для оценивания частного показателя.
При проведении оценивания частных показателей следует использовать следующий общий подход:
Таблица 7. Рекомендуемые критерии выставления оценок частных показателей ИБ на основе оценки вопросов Приложения В
--------------T-----------------------------------------------------------¬
¦Максимальная ¦ Критерий выставления оценки частного показателя ИБ ¦
¦ оценка ¦ ¦
¦ частного ¦ ¦
¦показателя ИБ¦ ¦
+-------------+-----------------------------------------------------------+
¦ 0 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, не установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации ¦
¦ ¦и не выполняются ¦
+-------------+-----------------------------------------------------------+
¦ 0 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, частично установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации, ¦
¦ ¦но не выполняются ¦
+-------------+-----------------------------------------------------------+
¦ 0,25 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, полностью установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации, ¦
¦ ¦но не выполняются ¦
+-------------+-----------------------------------------------------------+
¦ 0,25 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, не установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации ¦
¦ ¦и выполняются в неполном объеме ¦
+-------------+-----------------------------------------------------------+
¦ 0,25 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, частично установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации ¦
¦ ¦и выполняются в неполном объеме ¦
+-------------+-----------------------------------------------------------+
¦ 0,5 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, полностью установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации ¦
¦ ¦и выполняются в неполном объеме ¦
+-------------+-----------------------------------------------------------+
¦ 0,5 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, не установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации, ¦
¦ ¦но выполняются в полном объеме ¦
+-------------+-----------------------------------------------------------+
¦ 0,75 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, частично установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации, ¦
¦ ¦но выполняются в полном объеме ¦
+-------------+-----------------------------------------------------------+
¦ 1 ¦Требования всех вопросов Приложения В, соответствующих ¦
¦ ¦оцениваемому частному показателю, полностью установлены во ¦
¦ ¦внутренних нормативных документах проверяемой организации ¦
¦ ¦и выполняются в полном объеме ¦
L-------------+------------------------------------------------------------
В ряде случаев оценивание всех вопросов из составленного перечня Приложения В может оказаться недостаточным для оценивания частного показателя. В этом случае оценка частного показателя должна проводиться в соответствии с требованиями раздела 6 настоящего стандарта.
Результаты оценивания вопросов Приложения В должны быть документально оформлены путем составления соответствующих листов для сбора свидетельств аудита ИБ, пример которых приведен в Приложении Б. При заполнении листов для сбора свидетельств аудита ИБ необходимо указать ссылки на соответствующие вопросы Приложения В и документы, содержащие свидетельства выполнения оцениваемой деятельности, привести результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника или члена аудиторской группы соответственно.
10.5. Все вопросы Приложения В должны быть оценены. Однако перед оцениванием этих вопросов следует провести анализ актуальности соответствующих им требований для деятельности проверяемой организации. Неактуальным вопрос может быть признан только в том случае, если соответствующее ему требование не относится к деятельности организации или на момент оценки не является актуальным для организации, что документально зафиксировано во внутренних документах организации. В этом случае вопрос определяется как не оцениваемый (выставляется оценка "1") и не учитывается в дальнейшем формировании оценок частных показателей. Решение о признании вопроса Приложения В как не оцениваемого должно приниматься ответственным за процесс оценки из числа представителей проверяемой организации и оформляться документально.
11. Определение уровня соответствия
информационной безопасности организации банковской системы
Российской Федерации требованиям СТО БР ИББС-1.0.
Отображение оценок
11.1. Если оценка EV1, EV2 или EV3 лежит в интервале от 0 до 0,25, то данному направлению оценки присваивается нулевой уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,25 до 0,5, то данному направлению оценки присваивается первый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,5 до 0,7, то данному направлению оценки присваивается второй уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,7 до 0,85, то данному направлению оценки присваивается третий уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,85 до 0,95, то данному направлению оценки присваивается четвертый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
Если оценка EV1, EV2 или EV3 лежит в интервале от 0,95 до 1 включительно, то данному направлению оценки присваивается пятый уровень соответствия ИБ требованиям СТО БР ИББС-1.0.
11.2. Значение R определяется по наименьшему значению из трех оценок по направлениям оценки:
- оценки уровня осознания ИБ организации (EV3);
- оценки менеджмента ИБ организации (EV2);
- оценки текущего уровня ИБ организации (EV1).
11.3. Полученное в результате оценки соответствия ИБ организации требованиям СТО БР ИББС-1.0 значение R является основой для формирования аудиторского заключения по результатам аудита ИБ.
11.4. Значения R, соответствующие четвертому и пятому уровням, являются рекомендуемыми Банком России.
Значения R, соответствующие уровням с нулевого по третий, не являются рекомендуемыми Банком России.
11.5. Рисунок 1 представляет собой круговую диаграмму для отображения результатов оценивания.
Секторы с 1-го по 10-й используются для отображения оценки текущего уровня ИБ организации.
Секторы с 11-го по 27-й используются для отображения оценки процессов менеджмента ИБ организации.
Секторы с 28-го по 34-й используются для отображения оценки уровня осознания ИБ организации.
Пятому уровню соответствуют окружность радиусом 0,95 и кольцо до окружности радиусом 1.
Четвертому уровню соответствуют окружность радиусом 0,85 и кольцо до окружности радиусом 0,95.
Третьему уровню соответствуют окружность радиусом 0,7 и кольцо до окружности радиусом 0,85.
Второму уровню соответствуют окружность радиусом 0,5 и кольцо до окружности радиусом 0,7.
Первому уровню соответствуют окружность радиусом 0,25 и кольцо до окружности радиусом 0,5.
Нулевому уровню соответствует круг до окружности радиусом 0,25.
11.6. По результатам проведения оценки соответствия формируется документ - "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20xx".
"Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20xx" формируется на основе:
- аудиторского заключения в случае проведения оценки соответствия внешней организацией;
- отчета самооценки в случае проведения оценки соответствия силами организации БС РФ.
В "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20xx" как минимум следует включать следующие оценки:
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных;
�- оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации;
�- оценка группового показателя M6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации" применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные (оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации);
R - итоговый уровень соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0.
С целью направления "Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20xx" регуляторам, осуществляющим надзор за выполнением законодательства в области персональных данных, данный документ следует составлять в пяти экземплярах, один из которых предназначен для использования в организации БС РФ.
Рисунок 1. Круговая диаграмма для отображения результатов оценивания
�
Приложение А
(обязательное)
ПОКАЗАТЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Групповой показатель M1 "Обеспечение
информационной безопасности при назначении и распределении
ролей и обеспечении доверия к персоналу"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.1 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦роли ее работников? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.2 ¦Формируются ли роли, связанные с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0291 ¦ ¦
¦ ¦выполнением деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ, на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требований разделов 7 и 8 стандарта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СТО БР ИББС-1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.3 ¦Персонифицированы ли роли в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0502 ¦ ¦
¦ ¦организации с установлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственности за их выполнение? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.4 ¦Зафиксирована ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0461 ¦ ¦
¦ ¦должностных инструкциях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственность за выполнение ролей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.5 ¦Отсутствуют ли в организации роли, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦совмещающие функции разработки и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦сопровождения системы/ПО? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.6 ¦Отсутствуют ли в организации роли, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0610 ¦ ¦
¦ ¦совмещающие функции разработки и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации системы/ПО? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.7 ¦Отсутствуют ли в организации роли, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0522 ¦ ¦
¦ ¦совмещающие функции сопровождения и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.8 ¦Отсутствуют ли в организации роли, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦совмещающие функции администратора ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦системы и администратора ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информационной безопасности? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.9 ¦Отсутствуют ли в организации роли, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0661 ¦ ¦
¦ ¦совмещающие функции по выполнению ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦операций в системе и контроля их ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦выполнения? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.10 ¦Определены ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1001 ¦ ¦
¦ ¦организации и выполняются ли процедуры¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля деятельности работников, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обладающих совокупностью полномочий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(ролями), позволяющих получить ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроль над защищаемым информационным¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активом организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.11 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0513 ¦ ¦
¦ ¦процедуры приема на работу, влияющую ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на обеспечение ИБ, включающие: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- проверку подлинности предоставленных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, заявляемой квалификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦точности и полноты биографических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦фактов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- проверку в части профессиональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦навыков и оценку профессиональной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пригодности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.12 ¦Предусматривают ли указанные в частном¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0371 ¦ ¦
¦ ¦показателе M1.11 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проводимых проверок? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.13 ¦Определены ли в документах организации¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦процедуры регулярной проверки в части ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦профессиональных навыков и оценки ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦профессиональной пригодности ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦работников? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.14 ¦Предусматривают ли указанные в частном¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0302 ¦ ¦
¦ ¦показателе M1.13 процедуры ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦проводимых проверок? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.15 ¦Определены ли в документах организации¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦процедуры внеплановой проверки ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦работников при выявлении фактов их ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦нештатного поведения, участия в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦инцидентах ИБ или подозрений в таком ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦поведении или участии? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.16 ¦Предусматривают ли указанные в частном¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0391 ¦ ¦
¦ ¦показателе M1.15 процедуры ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦проводимых проверок? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.17 ¦Обязаны ли все работники организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0383 ¦ ¦
¦ ¦давать письменные обязательства о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соблюдении конфиденциальности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦приверженности правилам корпоративной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦этики, включая требования по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦недопущению конфликта интересов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.18 ¦Регламентируются ли положениями, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0449 ¦ ¦
¦ ¦включенными в договоры (соглашения) с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внешними организациями и клиентами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования по ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.19 ¦Определены ли в трудовых контрактах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0582 ¦ ¦
¦ ¦(соглашениях, договорах) и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦должностных инструкциях обязанности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦персонала по выполнению требований ИБ?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M1.20 ¦Приравнивается ли невыполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0462 ¦ ¦
¦ ¦работниками организации требований ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦к невыполнению должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обязанностей и приводит ли как минимум¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦к дисциплинарной ответственности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M1 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Групповой показатель M2 "Обеспечение
информационной безопасности автоматизированных банковских
систем на стадиях жизненного цикла"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.1 ¦Рассматриваются ли при формировании ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0504 ¦ ¦
¦ ¦требований ИБ следующие стадии модели ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ЖЦ АБС: ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- разработка технических заданий; ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- проектирование; ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- создание и тестирование; ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- приемка и ввод в действие; ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- эксплуатация; ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- сопровождение и модернизация; ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦- снятие с эксплуатации? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.2 ¦Осуществляются ли разработка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0616 ¦ ¦
¦ ¦технических заданий и приемка АБС по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦согласованию и при участии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подразделения (лиц) в организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственного за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.3 ¦Осуществляются ли ввод в действие, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0591 ¦ ¦
¦ ¦эксплуатация и сопровождение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(модернизация), снятие с эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦АБС под контролем подразделений (лиц) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в организации, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.4 ¦Имеют ли соответствующие лицензии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0563 ¦ ¦
¦ ¦организации, которые привлекаются на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦договорной основе для разработки и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(или) производства средств и систем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защиты АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.5 ¦Снабжены ли разрабатываемые АБС и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦(или) их компоненты документацией, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦содержащей описание реализованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер, в том числе в отношении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦угроз ИБ (источников угроз), описанных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в модели угроз организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.6 ¦Снабжены ли приобретаемые организацией¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0604 ¦ ¦
¦ ¦АБС и (или) их компоненты ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦документацией, содержащей описание ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦реализованных защитных мер, в том ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦числе в отношении угроз ИБ (источников¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦угроз), описанных в модели угроз ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.7 ¦Содержит ли документация на ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦
¦ ¦разрабатываемые АБС или приобретаемые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦готовые АБС и их компоненты описание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализованных защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предпринятых разработчиком ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦относительно безопасности разработки и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦безопасности поставки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.8 ¦Реализуется ли при взаимодействии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0604 ¦ ¦
¦ ¦организации с разработчиком АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦компонентов одна из трех альтернатив: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦1) в договор (контракт) о разработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦АБС или поставке готовых АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦компонентов включаются положения по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сопровождению поставляемых изделий на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦весь срок их службы; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦2) организация приобретает полный ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦комплект рабочей конструкторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документации, обеспечивающий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦возможность сопровождения АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦компонентов без участия разработчика; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦3) руководство организации оценивает и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документально оформляет допустимость ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦риска нарушения ИБ, возникающего при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦невозможности сопровождения АБС и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦компонентов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.9 ¦Учитывается ли при разработке ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0596 ¦ ¦
¦ ¦технических заданий на системы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания, что защита данных должна¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечиваться в условиях: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- попыток доступа к банковской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации анонимных, неавторизованных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦злоумышленников при использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сетей общего пользования; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- возможности ошибок авторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пользователей систем; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- возможности ненамеренного или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦неадекватного использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конфиденциальных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизованными пользователями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.10 ¦Обеспечиваются ли на стадии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0474 ¦ ¦
¦ ¦тестирования анонимность данных и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проверка адекватности разграничения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦доступа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.11 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0700 ¦ ¦
¦ ¦и выполняются ли на стадии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации АБС процедуры контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работоспособности (функционирования, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эффективности) реализованных в АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.12 ¦Предусматривают ли указанные в частном¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0626 ¦ ¦
¦ ¦показателе M2.11 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.13 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0596 ¦ ¦
¦ ¦и выполняются ли на стадии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сопровождения (модернизации) АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедуры контроля, обеспечивающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защиту от: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- умышленного несанкционированного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦раскрытия, модификации или уничтожения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- неумышленной модификации, раскрытия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦или уничтожения информации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- отказа в обслуживании или ухудшения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.14 ¦Предусматривают ли указанные в частном¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0533 ¦ ¦
¦ ¦показателе M2.13 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.15 ¦Проводятся ли на стадии сопровождения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦(модернизации) при любом внесении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменений в АБС процедуры проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функциональности, результаты которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документируются? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.16 ¦Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0675 ¦ ¦
¦ ¦выполняются ли на стадии снятия с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации процедуры, обеспечивающие¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦удаление информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦несанкционированное использование ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которой может нанести ущерб бизнес- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности организации, и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, используемой средствами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ, из постоянной памяти ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦АБС и с внешних носителей (за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦исключением архивов электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов и протоколов электронного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦взаимодействия, ведение и сохранность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которых в течение определенного срока ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предусмотрены соответствующими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нормативными и (или) договорными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документами)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M2.17 ¦Предусматривают ли указанные в частном¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0576 ¦ ¦
¦ ¦показателе M2.16 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов их¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M2 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Групповой показатель M3 "Обеспечение информационной
безопасности при управлении доступом и регистрации"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.1 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0356 ¦ ¦
¦ ¦перечень информационных активов (их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦типов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.2 ¦Зафиксированы ли документально права ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0360 ¦ ¦
¦ ¦доступа работников и клиентов к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационным активам организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.3 ¦Применяются ли в составе АБС ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ ¦встроенные защитные меры? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.4 ¦Применяются ли в составе АБС ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0334 ¦ ¦
¦ ¦сертифицированные или разрешенные к ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦применению руководством организации ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦средства защиты информации от НСД и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦НРД? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.5 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0366 ¦ ¦
¦ ¦организации, утверждены ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством организации, выполняются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ли и контролируются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦идентификации, аутентификации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.6 ¦Документируются ли результаты контроля¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ ¦процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦показателе M3.5? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.7 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0360 ¦ ¦
¦ ¦организации, выполняются ли и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролируются ли процедуры управления¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦доступом? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.8 ¦Документируются ли результаты контроля¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0334 ¦ ¦
¦ ¦процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦показателе M3.7? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.9 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0340 ¦ ¦
¦ ¦организации, выполняются ли и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролируются ли процедуры контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦целостности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.10 ¦Документируются ли результаты контроля¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦
¦ ¦процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦показателе M3.9? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.11 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦
¦ ¦организации, выполняются ли и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролируются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регистрации событий и действий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.12 ¦Документируются ли результаты контроля¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0286 ¦ ¦
¦ ¦процедур, указанных в частном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦показателе M3.11? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.13 ¦Исключают ли процедуры управления ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0308 ¦ ¦
¦ ¦доступом возможность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦"самосанкционирования"? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.14 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦процедуры мониторинга и анализа данных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регистрации, действий и операций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦позволяющие выявить неправомерные или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подозрительные операции и транзакции? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.15 ¦Используются ли специализированные ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0255 ¦ ¦
¦ ¦программные и (или) технические ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦средства для проведения процедур ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦мониторинга и анализа данных ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦регистрации, действия и операций? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.16 ¦Используют ли процедуры мониторинга и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0266 ¦ ¦
¦ ¦анализа документально определенные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦критерии выявления неправомерных или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подозрительных действий и операций? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.17 ¦Применяются ли процедуры мониторинга и¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0286 ¦ ¦
¦ ¦анализа на регулярной основе ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(например, ежедневно) ко всем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполненным операциям и транзакциям? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.18 ¦Регламентирован ли во внутренних ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0292 ¦ ¦
¦ ¦документах организации порядок доступа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации в помещения, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которых размещаются объекты среды ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.19 ¦Контролируется ли выполнение порядка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0297 ¦ ¦
¦ ¦доступа работников организации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦помещения, в которых размещаются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦объекты среды информационных активов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.20 ¦Оформляются ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0263 ¦ ¦
¦ ¦результаты выполнения контроля порядка¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦доступа работников организации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦помещения, в которых размещаются ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦объекты среды информационных активов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.21 ¦Обеспечивают ли используемые в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0328 ¦ ¦
¦ ¦организации АБС, в том числе системы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания, возможность регистрации:¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- операций с данными о клиентских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦счетах, включая операции открытия, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦модификации и закрытия клиентских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦счетов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- проводимых транзакций, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦финансовые последствия; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- операций, связанных с назначением и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦распределением прав пользователей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.22 ¦Реализованы ли в системах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0344 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания, используемых в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечивающие невозможность отказа от¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторства проводимых клиентами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦операций и транзакций (например, ЭЦП)?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.23 ¦Придано ли протоколам операций, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0312 ¦ ¦
¦ ¦выполняемых посредством дистанционного¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦банковского обслуживания, свойство ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦юридической значимости, например, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦путем внесения соответствующих ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦положений в договоры на дистанционное ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦банковское обслуживание? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.24 ¦Производится ли при заключении ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0274 ¦ ¦
¦ ¦договоров со сторонними организациями ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦юридическое оформление ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦договоренностей, определяющих ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦необходимый уровень взаимодействия в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦случае выхода инцидента ИБ за рамки ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦отдельной организации? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.25 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0294 ¦ ¦
¦ ¦процедуры, определяющие действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников и клиентов организации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦случае компрометации информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимой для их идентификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аутентификации и (или) авторизации, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦том числе произошедшей по их вине, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦включая информацию о способах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦распознавания таких случаев? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.26 ¦Доведены ли до сведения работников и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0283 ¦ ¦
¦ ¦клиентов организации процедуры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанные в частном показателе M3.25? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.27 ¦Предусматривают ли указанные в частном¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0254 ¦ ¦
¦ ¦показателе M3.26 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документирование работниками и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦клиентами своих действий и их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.28 ¦Реализованы ли в системах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0239 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания механизмы информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(регулярного, непрерывного или по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требованию) клиентов обо всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦операциях, совершаемых от их имени? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.29 ¦Применяются ли в организации защитные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦
¦ ¦меры, направленные на обеспечение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защиты от НСД и НРД, повреждения или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения целостности информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимой для регистрации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦идентификации, аутентификации и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизации клиентов и работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.30 ¦Регистрируются ли все попытки НСД и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0326 ¦ ¦
¦ ¦НРД к информации, необходимой для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦идентификации, аутентификации и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизации клиентов и сотрудников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.31 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0316 ¦ ¦
¦ ¦и выполняется ли процедура пересмотра ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прав доступа при увольнении или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменении должностных обязанностей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации, имевших доступ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦к информации, необходимой для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦идентификации, аутентификации и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизации клиентов и сотрудников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M3.32 ¦Осуществляется ли работа всех ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0349 ¦ ¦
¦ ¦пользователей АБС под уникальными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦учетными записями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M3 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Групповой показатель M4 "Обеспечение информационной
безопасности средствами антивирусной защиты"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.1 ¦Применяются ли на всех ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0744 ¦ ¦
¦ ¦автоматизированных рабочих местах и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦серверах АБС организации, если иное не¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предусмотрено технологическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессом, средства антивирусной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защиты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.2 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0721 ¦ ¦
¦ ¦процедуры установки и регулярного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обновления средств антивирусной защиты¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(версий и баз данных) на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦автоматизированных рабочих местах и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦серверах АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.3 ¦Осуществляются ли установка и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0653 ¦ ¦
¦ ¦регулярное обновление средств ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦антивирусной защиты (версий и баз ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦данных) на автоматизированных рабочих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦местах и серверах АБС администраторами¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦АБС или иными официально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уполномоченными лицами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.4 ¦Организован ли автоматический режим ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0559 ¦ ¦
¦ ¦установки обновлений антивирусного ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦программного обеспечения и его баз ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦данных? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.5 ¦Контролируются ли установка и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0688 ¦ ¦
¦ ¦обновление антивирусных средств ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦представителями подразделения (лицами)¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в организации, ответственными за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.6 ¦Организовано ли функционирование ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0583 ¦ ¦
¦ ¦постоянной антивирусной защиты в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦автоматическом режиме? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.7 ¦Разработаны и введены ли в действие ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0619 ¦ ¦
¦ ¦инструкции по антивирусной защите, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦учитывающие особенности банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологических процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.8 ¦Проводится ли антивирусная фильтрация ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0706 ¦ ¦
¦ ¦всего трафика электронного почтового ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.9 ¦Построена ли в организации ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0501 ¦ ¦
¦ ¦эшелонированная централизованная ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦система антивирусной защиты, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦предусматривающая использование ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦средств антивирусной защиты различных ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦производителей и их раздельную ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦установку на рабочих станциях, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦почтовых серверах и межсетевых ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦экранах? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.10 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0605 ¦ ¦
¦ ¦и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предварительной проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦устанавливаемого или изменяемого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программного обеспечения на отсутствие¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦вирусов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.11 ¦Проводится ли антивирусная проверка ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0616 ¦ ¦
¦ ¦после установки и изменения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программного обеспечения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.12 ¦Документируются ли результаты ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0619 ¦ ¦
¦ ¦установки, изменения программного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения и антивирусной проверки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.13 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦процедуры, выполняемые в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обнаружения компьютерных вирусов, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которых зафиксированы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- необходимые меры по отражению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦устранению последствий вирусной атаки;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок официального информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководства; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок приостановления при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости работы (на период ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦устранения последствий вирусной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦атаки)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.14 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0557 ¦ ¦
¦ ¦и выполняются ли процедуры контроля за¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦отключением и обновлением антивирусных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средств на всех автоматизированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рабочих местах и серверах АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.15 ¦Предусматривают ли указанные в частном¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0513 ¦ ¦
¦ ¦показателе M4.14 процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документальную фиксацию результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M4.16 ¦Возложена ли обязанность по выполнению¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0665 ¦ ¦
¦ ¦предписанных мер антивирусной защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на каждого работника организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦имеющего доступ к ЭВМ и (или) АБС, а ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственность за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требований инструкции по антивирусной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защите - на руководителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функциональных подразделений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M4 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M5 "Обеспечение информационной
безопасности при использовании ресурсов сети Интернет"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.1 ¦Принято ли документально руководством ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0586 ¦ ¦
¦ ¦организации решение об использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сети Интернет для производственной и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(или) собственной хозяйственной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности, в котором явно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦перечислены цели использования сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.2 ¦Запрещается ли использование ресурсов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0512 ¦ ¦
¦ ¦сети Интернет в неустановленных целях?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.3 ¦Проведено ли в организации выделение ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0398 ¦ ¦
¦ ¦ограниченного числа пакетов, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦содержащих перечень сервисов и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ресурсов сети Интернет, доступных для ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦пользователей? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.4 ¦Проводится ли наделение работников ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0355 ¦ ¦
¦ ¦организации правами пользователя ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦конкретного пакета в соответствии с ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦его должностными обязанностями, в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦частности, в соответствии с ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦назначенными ему ролями? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.5 ¦Оформляется ли документально наделение¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0398 ¦ ¦
¦ ¦работников организации правами ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦пользователя конкретного пакета? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.6 ¦Определен ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0583 ¦ ¦
¦ ¦организации порядок подключения и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования ресурсов сети Интернет, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦включающий в том числе положение о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроле со стороны подразделения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(лиц) в организации, ответственного за¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.7 ¦Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0518 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания с использованием сети ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Интернет средства защиты информации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(межсетевые экраны, антивирусные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средства, средства криптографической ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защиты информации), которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечивают прием и передачу ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации только в установленном ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦формате и только по конкретной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологии? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.8 ¦Выполнено ли выделение и организована ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0292 ¦ ¦
¦ ¦ли физическая изоляция от внутренних ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦сетей тех ЭВМ, с помощью которых ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦осуществляется взаимодействие с сетью ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦Интернет в режиме on-line? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.9 ¦Применяются ли при осуществлении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0479 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предотвращающие возможность подмены ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.10 ¦Регистрируются ли регламентированным ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0440 ¦ ¦
¦ ¦образом попытки подмены ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизованного клиента ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦злоумышленником в рамках сеанса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.11 ¦Все ли операции клиентов в течение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0581 ¦ ¦
¦ ¦сеанса работы с системами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания выполняются только после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения процедур идентификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аутентификации и авторизации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.12 ¦Обеспечивается ли повторное выполнение¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦
¦ ¦процедур идентификации, аутентификации¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и авторизации в случаях нарушения или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разрыва соединения при работе с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦системами дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.13 ¦Используется ли специализированное ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦клиентское программное обеспечение для¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦доступа пользователей к системам ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.14 ¦Применяются ли защитные меры для ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0450 ¦ ¦
¦ ¦осуществления почтового обмена через ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.15 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0491 ¦ ¦
¦ ¦перечень защитных мер и порядок их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования для осуществления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦почтового обмена через сеть Интернет? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.16 ¦Организован ли почтовый обмен с сетью ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0331 ¦ ¦
¦ ¦Интернет через ограниченное количество¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦точек, состоящих из внешнего ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦(подключенного к сети Интернет) и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦внутреннего (подключенного к ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦внутренним сетям организации) почтовых¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦серверов с безопасной системой ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦репликации почтовых сообщений между ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ними (интернет-киоски)? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.17 ¦Осуществляется ли архивирование ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.18 ¦Доступен ли архив электронной почты ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦подразделению (лицу), ответственному ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.19 ¦Не допускаются ли изменения в архиве ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0390 ¦ ¦
¦ ¦электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.20 ¦Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0433 ¦ ¦
¦ ¦доступа к информации архива ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦электронной почты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.21 ¦Не применяется ли в организации ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦практика хранения и обработки ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦банковской информации (в т.ч. ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦открытой) на ЭВМ, с помощью которой ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦осуществляется взаимодействие с сетью ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦Интернет в режиме on-line? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.22 ¦Всегда ли наличие банковской ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0430 ¦ ¦
¦ ¦информации на ЭВМ, с помощью которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществляется взаимодействие с сетью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Интернет в режиме on-line, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определяется бизнес-целями организации¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и документально санкционируется ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M5.23 ¦Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0415 ¦ ¦
¦ ¦используются ли защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦позволяющие обеспечить противодействие¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦атакам хакеров и распространению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦спама? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M5 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M6 "Обеспечение
информационной безопасности при использовании средств
криптографической защиты информации"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.1 ¦Проводится ли применение СКЗИ в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0857 ¦ ¦
¦ ¦организации в соответствии с моделью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦угроз ИБ и моделью нарушителя ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦принятыми организацией? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Имеют ли СКЗИ, применяемые для защиты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦персональных данных, класс не ниже ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦КС2? Проводятся ли работы по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению безопасности информации с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦помощью СКЗИ в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действующими в настоящее время ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нормативными документами, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующими вопросы эксплуатации¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СКЗИ, технической документацией на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СКЗИ и лицензионными требованиями ФСБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.2 ¦Утверждена ли частная политика, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦касающаяся применения СКЗИ в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.3 ¦Допускают ли СКЗИ возможность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦встраивания в технологические процессы¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обработки электронных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.4 ¦Обеспечивают ли СКЗИ взаимодействие с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦прикладным программным обеспечением на¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уровне обработки запросов на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦криптографические преобразования и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выдачи результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.5 ¦Поставляются ли СКЗИ разработчиками с ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0842 ¦ ¦
¦ ¦полным комплектом эксплуатационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документации, включающей описание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ключевой системы, правила работы с ней¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и обоснование необходимого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организационно-штатного обеспечения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.6 ¦Сертифицированы ли СКЗИ уполномоченным¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0857 ¦ ¦
¦ ¦государственным органом или имеют ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СКЗИ разрешение ФСБ России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.7 ¦Осуществляются ли установка и ввод в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0845 ¦ ¦
¦ ¦эксплуатацию, а также эксплуатация ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СКЗИ в соответствии с эксплуатационной¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и технической документацией к этим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средствам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.8 ¦Поддерживается ли непрерывность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦процессов протоколирования работы СКЗИ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦при применении СКЗИ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.9 ¦Поддерживается ли непрерывность ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦процессов обеспечения целостности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программного обеспечения для среды ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирования СКЗИ, представляющей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦собой совокупность технических и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программных средств, совместно с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которыми происходит штатное ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирование СКЗИ и которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦способны повлиять на выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предъявляемых к СКЗИ требований? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.10 ¦Обеспечивается ли ИБ процессов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0776 ¦ ¦
¦ ¦изготовления криптографических ключей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СКЗИ комплексом технологических, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организационных, технических и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программных мер и средств защиты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.11 ¦Реализованы ли процедуры мониторинга, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0651 ¦ ¦
¦ ¦регистрирующие все значимые события, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦состоявшиеся в процессе обмена ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦криптографически защищенными данными, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦и все инциденты ИБ? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.12 ¦Определен ли руководством на основании¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0671 ¦ ¦
¦ ¦указанных в разделе 7.7 СТО БР ИББС- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦1.0 документов порядок применения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СКЗИ, включающий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок ввода в действие, включая ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедуры встраивания СКЗИ в АБС; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок эксплуатации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок восстановления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работоспособности в аварийных случаях;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок внесения изменений; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок снятия с эксплуатации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок управления ключевой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦системой; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок обращения с носителями ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ключевой информации, включая действия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦при смене и компрометации ключей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.13 ¦Самостоятельно ли изготавливаются в ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0607 ¦ ¦
¦ ¦организации и (или) клиентом ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦организации ключи СКЗИ? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M6.14 ¦Регулируются ли заключаемыми ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0708 ¦ ¦
¦ ¦договорами отношения, возникающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦между организациями и их клиентами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M6 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M7 "Обеспечение
информационной безопасности банковских платежных
технологических процессов"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.1 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0405 ¦ ¦
¦ ¦банковский платежный технологический ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процесс? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.2 ¦Определены ли документально перечни ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0365 ¦ ¦
¦ ¦программного обеспечения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦устанавливаемого и (или) используемого¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в ЭВМ и АБС и необходимого для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения конкретных банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежных технологических процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.3 ¦Соответствует ли состав установленного¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0389 ¦ ¦
¦ ¦и используемого в ЭВМ и АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программного обеспечения определенному¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦перечню? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.4 ¦Контролируется ли выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0319 ¦ ¦
¦ ¦требований, оцениваемых в частных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦показателях M7.2, M7.3, с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документированием результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.5 ¦Зафиксирован ли порядок обмена ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0451 ¦ ¦
¦ ¦платежной информацией в договорах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦между участниками данного обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.6 ¦Отсутствуют ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0448 ¦ ¦
¦ ¦работники, обладающие полномочиями для¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦бесконтрольного создания, авторизации,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уничтожения и изменения платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, а также проведение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦несанкционированных операций по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменению состояния банковских счетов?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.7 ¦Контролируются (проверяются) ли и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0458 ¦ ¦
¦ ¦удостоверяются ли результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологических операций по обработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежной информации лицами/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦автоматизированными процессами? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.8 ¦Осуществляется ли обработка платежной ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0442 ¦ ¦
¦ ¦информации и контроль (проверка) ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦результатов обработки разными ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦работниками/автоматизированными ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦процессами? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.9 ¦Возложены ли обязанности по ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0365 ¦ ¦
¦ ¦администрированию средств защиты ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦платежной информации приказами или ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦распоряжениями по организации на ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦администраторов ИБ с отражением этих ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦обязанностей в должностных ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦инструкциях? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.10 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса защиту ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежной информации от искажения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦фальсификации, переадресации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦несанкционированного уничтожения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ложной авторизации электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.11 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0384 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса доступ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работника организации только к тем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ресурсам банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса, которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимы ему для исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦должностных обязанностей или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации прав, предусмотренных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологией обработки платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.12 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0389 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса контроль ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(мониторинг) исполнения установленной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологии подготовки, обработки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦передачи и хранения платежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.13 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0412 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аутентификацию входящих электронных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежных сообщений? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.14 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0412 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса двустороннюю¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аутентификацию автоматизированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рабочих мест (рабочих станций и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦серверов), участников обмена ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦электронными платежными сообщениями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.15 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса возможность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ввода платежной информации в АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦только для авторизованных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пользователей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.16 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса контроль, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦направленный на исключение возможности¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершения злоумышленных действий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(двойной ввод, сверку, установление ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ограничений в зависимости от суммы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершения операций и т.д.)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.17 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановление платежной информации в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦случае ее умышленного (случайного) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разрушения (искажения) или выхода из ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦строя средств вычислительной техники? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.18 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0436 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществлении межбанковских расчетов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сверку выходных электронных платежных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сообщений с соответствующими входными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и обработанными электронными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежными сообщениями? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.19 ¦Предусматривает ли комплекс мер по ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ ¦обеспечению ИБ банковского платежного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологического процесса доставку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦электронных платежных сообщений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦участникам обмена? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.20 ¦Организован ли в организации ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0364 ¦ ¦
¦ ¦авторизованный ввод платежной ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информации в АБС двумя работниками с ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦последующей программной сверкой ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦результатов ввода на совпадение ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦(принцип "двойного управления")? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.21 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0337 ¦ ¦
¦ ¦и выполняются ли при проектировании, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разработке, эксплуатации систем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания процедуры, реализующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦механизмы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- снижения вероятности выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непреднамеренных или случайных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦операций или транзакций ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦авторизованными клиентами; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- доведения информации о возможных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисках, связанных с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦операций или транзакций до клиентов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.22 ¦Обеспечены ли клиенты систем ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ ¦дистанционного банковского ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания детальными инструкциями, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦описывающими процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦операций или транзакций? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.23 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0368 ¦ ¦
¦ ¦и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обслуживания средств вычислительной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦техники, используемых в банковском ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежном технологическом процессе, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦включая замену их программных и (или) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аппаратных частей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.24 ¦Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦организации, согласована ли со службой¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедура периодического контроля всех¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средствами функций (требований) по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ платежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M7.25 ¦Определена ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0392 ¦ ¦
¦ ¦организации, согласована ли со службой¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедура восстановления всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средствами функций по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦платежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M7 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M8 "Обеспечение
информационной безопасности банковских информационных
технологических процессов"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.1 ¦Проведена ли в организации ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0852 ¦ ¦
¦ ¦классификация неплатежной информации? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.2 ¦Проводится ли классификация ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0779 ¦ ¦
¦ ¦неплатежной информации в соответствии ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦со степенью тяжести последствий потери¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ее свойств ИБ, в частности, свойств ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦доступности, целостности и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦конфиденциальности? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.3 ¦Определен ли документально набор ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0970 ¦ ¦
¦ ¦требований по защите каждого из типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦неплатежных информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов неплатежной информации), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полученных в результате классификации?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.4 ¦Возложены ли обязанности по ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0814 ¦ ¦
¦ ¦администрированию средств защиты ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦неплатежной информации приказами или ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦распоряжениями по организации на ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦администраторов ИБ с отражением этих ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦обязанностей в должностных ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦инструкциях? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.5 ¦Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0777 ¦ ¦
¦ ¦контроля функционирования со стороны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦лиц, отвечающих за ИБ, для каждой АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.6 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0740 ¦ ¦
¦ ¦банковские информационные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦технологические процессы, согласованы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ли эти документы со службой ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.7 ¦Реализованы ли банковские ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0639 ¦ ¦
¦ ¦информационные технологические ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессы в рамках созданных для этих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦целей АБС? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.8 ¦Изолированы ли серверы, офисные ЭВМ и ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0758 ¦ ¦
¦ ¦другое оборудование, не входящее в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦состав АБС, реализующих банковские ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информационные технологические ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦процессы, от указанных АБС на уровне ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦локальных вычислительных сетей ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦способом, согласованным со службой ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦либо лицом, отвечающим в организации ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦за ИБ? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.9 ¦Определены ли документально перечни ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦программного обеспечения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦устанавливаемого и (или) используемого¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в ЭВМ и АБС и необходимого для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения конкретных банковских ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных технологических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.10 ¦Соответствует ли состав установленного¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0646 ¦ ¦
¦ ¦и используемого в ЭВМ и АБС ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программного обеспечения определенному¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦перечню? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.11 ¦Контролируется ли выполнение ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0676 ¦ ¦
¦ ¦требований частных показателей M8.9, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦M8.10 с документированием результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.12 ¦Регламентирована ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0889 ¦ ¦
¦ ¦организации, согласована ли со службой¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ либо лицом, отвечающим за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедура периодического контроля всех¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средствами и организационными мерами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функций (требований) по обеспечению ИБ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦неплатежной информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M8.13 ¦Регламентирована ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0814 ¦ ¦
¦ ¦организации, согласована ли со службой¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ либо лицом, отвечающим за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ, и выполняется ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедура восстановления всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализованных программно-техническими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средствами и организационными мерами ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функций по обеспечению ИБ неплатежной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M8 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M9 "Общие требования по обработке
персональных данных в организации БС РФ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ <**> ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ <*> ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.1 ¦Определены ли в организации, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксированы ли документально и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦утверждены ли руководством организации¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦цели обработки персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.2 ¦Определена ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦необходимость уведомления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦Уполномоченного органа по защите прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦субъектов персональных данных об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обработке персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.3 ¦Определены ли в организации для каждой¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦цели обработки персональных данных, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксированы ли документально и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦утверждены ли руководством ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- объем и содержание персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- сроки обработки, в том числе сроки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦хранения персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- необходимость получения согласия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦субъектов персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.4 ¦Проводится ли в организации ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦классификация персональных данных в ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦соответствии со степенью тяжести ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦последствий потери свойств ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦безопасности персональных данных для ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦субъекта персональных данных? ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.5 ¦Выделяются ли при проведении ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦классификации персональных данных ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦следующие категории: ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦- персональные данные, отнесенные в ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦соответствии с Федеральным законом "О ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных" к специальным ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦категориям персональных данных; ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦- персональные данные, отнесенные в ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦соответствии с Федеральным законом "О ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных" к биометрическим ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональным данным; ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦- персональные данные, которые не ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦могут быть отнесены к специальным ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦категориям персональных данных, к ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦биометрическим персональным данным, ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦к общедоступным или обезличенным ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональным данным; ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦- персональные данные, отнесенные в ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦соответствии с Федеральным законом ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦"О персональных данных" к ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦общедоступным или обезличенным ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональным данным? ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.6 ¦Осуществляется ли организацией ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦передача персональных данных третьему ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦лицу с согласия субъекта персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦В том случае, если организация ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦поручает обработку персональных данных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦третьему лицу на основании договора - ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦включается ли в такой договор ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обязанность обеспечения третьим лицом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦конфиденциальности персональных данных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦и безопасности персональных данных при¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦их обработке? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.7 ¦Прекращается ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обработка персональных данных и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦уничтожаются ли собранные персональные¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данные в следующих случаях и в сроки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦установленные законодательством РФ: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- по достижении целей обработки или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦при утрате необходимости в их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦достижении; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- по требованию субъекта персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных или Уполномоченного органа по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦защите прав субъектов персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных - если персональные данные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦являются неполными, устаревшими, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦недостоверными, незаконно полученными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦или не являются необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦заявленной цели обработки; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- при отзыве субъектом персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных согласия на обработку своих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных, если такое ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦согласие требуется в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦законодательством РФ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- при невозможности устранения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦оператором допущенных нарушений при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обработке персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦Примечание: если иное установлено ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦законодательством РФ, показателю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦присваивается оценка "н/о". ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.8 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦уничтожения персональных данных (в том¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦числе и материальных носителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.9 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обработки обращений субъектов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных (или их законных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦представителей) по вопросам обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦их персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.10 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦действий в случае запросов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦Уполномоченного органа по защите прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦субъектов персональных данных или иных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦надзорных органов, осуществляющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦контроль и надзор в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.11 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально подход к¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦отнесению АБС к информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦системам персональных данных (ИСПДн)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.12 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально перечень¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦ИСПДн, в который включены как минимум ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦АБС, целью создания и использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦которых является обработка ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных и не включены АБС,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦реализующие банковские платежные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦технологические процессы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.13 ¦Определены ли для каждой ИСПДн ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦организации и зафиксированы ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦документально: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- цель обработки персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- объем и содержание обрабатываемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- перечень действий с персональными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данными и способы их обработки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.14 ¦Соответствуют ли целям обработки объем¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦и содержание персональных данных в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦ИСПДн, а также перечень действий и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦способы обработки персональных данных?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.15 ¦Документированы ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦банковские информационные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦технологические процессы, в рамках ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦которых обрабатываются персональные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данные в ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.16 ¦Исключена ли при обработке ПДн в ИСПДн¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦фиксация на одном материальном ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦носителе и персональных данных, и иных¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦видов информационных активов, а также ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных, цели обработки ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦которых заведомо несовместимы? ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.17 ¦Используется ли при обработке ПДн в ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦ИСПДн для каждой категории ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных отдельный ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦материальный носитель? ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦Примечание: если в ИСПДн ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦обрабатываются ПДн только одной ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦категории, показателю присваивается ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
¦ ¦оценка "н/о". ¦ ¦//¦////¦////¦////¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.18 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально перечень¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦(список) работников, осуществляющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обработку персональных данных в ИСПДн ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦либо имеющих доступ к персональным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данным? Допускается указание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦работников в перечне (списке) на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦ролевой основе в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦занимаемой должностью на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦требований раздела 7.2 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦СТО БР ИББС-1.0. Возможно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦существование перечня (списка) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦электронном виде при условии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦предоставления работникам прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦доступа в ИСПДн только на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦распорядительного документа в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦документально зафиксированном в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦организации порядке. ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.19 ¦Осуществляется ли доступ работников ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦организации к персональным данным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦(обработка персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦работниками) только для выполнения их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦должностных обязанностей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.20 ¦Проинформированы ли работники ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦организации, осуществляющие обработку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных в ИСПДн, о факте ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обработки ими персональных данных, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦категориях обрабатываемых персональных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных, а также ознакомлены ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦работники под роспись со всей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦совокупностью требований по обработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦и обеспечению безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных в части, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦касающейся их должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦обязанностей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.21 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦доступа работников организации или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦иных лиц в помещения, в которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦ведется обработка персональных данных?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.22 ¦Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦хранения материальных носителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных, устанавливающий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- места хранения материальных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦носителей персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- требования по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦безопасности персональных данных при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦хранении их носителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- работников, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦реализацию требований по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦безопасности персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦- порядок контроля выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦требований по обеспечению безопасности¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных при хранении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦материальных носителей персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M9.23 ¦Соблюдаются ли требования, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦установленные "Положением об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦особенностях обработки персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных, осуществляемой без ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦использования средств автоматизации", ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦утвержденным Постановлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦Правительства РФ от 15 сентября 2008 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦г. № 687, при обработке в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦персональных данных на бумажных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦носителях, в частности, при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦использовании в организации БС РФ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦типовых форм документов, характер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦информации в которых предполагает или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦допускает включение в них персональных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
¦ ¦данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦///////////¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M9///////////////////////////////////////////////////////////////// ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
--------------------------------
<*> Графа не заполняется.
<**> Вычисленное значение показателя ИБ равно оценке соответствующего частного показателя (столбцы 4 - 9 таблицы).
Групповой показатель M10 "Общие требования
по обеспечению информационной безопасности банковских
технологических процессов, в рамках которых обрабатываются
персональные данные"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M10.1 ¦Отнесены ли все ИСПДн организации к ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦специальным в соответствии с пунктом 8¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Порядка проведения классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных систем персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦данных, утвержденного Приказом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Федеральной службы по техническому и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦экспортному контролю, Федеральной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦службы безопасности Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Федерации и Министерства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных технологий и связи ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Российской Федерации от 13 февраля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦2008 г. № 55/86/20 "Об утверждении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Порядка проведения классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных систем персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦данных"? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M10.2 ¦Определены ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦зафиксированы ли документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦критерии классификации ИСПДн, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦порядок проведения классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M10.3 ¦Проводится ли классификация на основе ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦категорий обрабатываемых в ИСПДн ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M10.4 ¦Определены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦утверждены ли руководством результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦классификации ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M10.5 ¦Определен ли для каждого класса ИСПДн ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2 ¦ ¦
¦ ¦набор требований по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦безопасности персональных данных на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦основе требований 7-го и 8-го разделов¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СТО БР ИББС-1.0, а также при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости на основе результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки рисков нарушения безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M10 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M11 "Организация и функционирование
службы ИБ организации БС РФ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.1 ¦Сформирована ли руководством служба ИБ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0816 ¦ ¦
¦ ¦(назначено ли уполномоченное лицо) для¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации, эксплуатации, контроля и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦поддержания на должном уровне СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦утверждены ли цели и задачи ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.2 ¦Имеет ли служба ИБ утвержденные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0753 ¦ ¦
¦ ¦руководством полномочия и ресурсы, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимые для выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦установленных целей и задач? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.3 ¦Имеет ли служба ИБ назначенного из ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0750 ¦ ¦
¦ ¦числа руководства куратора, который ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦при этом не является куратором службы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информатизации (автоматизации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.4 ¦Наделена ли служба ИБ собственным ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0530 ¦ ¦
¦ ¦бюджетом? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.5 ¦Сформированы ли для организаций, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0615 ¦ ¦
¦ ¦имеющих сеть филиалов или региональных¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦представительств, подразделения ИБ ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦(уполномоченные лица) на местах и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦обеспечены ли эти подразделения ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦необходимыми ресурсами и нормативной ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦базой? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.6 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0694 ¦ ¦
¦ ¦лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦составление и контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение всех планов по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.7 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦лицо) полномочиями разрабатывать и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦вносить предложения по изменению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политик ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.8 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменения существующих и принятие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством новых внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.9 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0781 ¦ ¦
¦ ¦лицо) полномочиями определять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования к мерам обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.10 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦лицо) полномочиями контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения ими требований внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность в области обеспечения ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в первую очередь работников, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦максимальные полномочия по доступу к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемым информационным активам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.11 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ ¦лицо) полномочиями осуществлять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мониторинг событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечением ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.12 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ ¦лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦расследовании событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инцидентами ИБ, и выходить в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости с предложениями по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦применению санкций в отношении лиц, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществивших НСД и НРД (например, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушивших требования инструкций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководств по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.13 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ ¦лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действиях по восстановлению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работоспособности АБС после сбоев и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аварий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M11.14 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ ¦лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦создании, поддержании, эксплуатации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершенствовании СОИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M11 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M12 "Определение/коррекция области
действия СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.1 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1956 ¦ ¦
¦ ¦и корректируется ли опись ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦структурированных по классам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемых информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов - типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.2 ¦Проводится ли классификация ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,1614 ¦ ¦
¦ ¦информационных активов по типам на ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦основании оценок ценности ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов для интересов ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦(целей) организации, например, в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с тяжестью последствий ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦потери свойств ИБ информационных ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦активов? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.3 ¦Содержит ли опись информационных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦активов информацию о принадлежности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конкретного информационного актива к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выделенным типам информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (в случае наличия в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации классификации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.4 ¦Содержит ли опись информационных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1098 ¦ ¦
¦ ¦активов (типов информационных активов)¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦перечень их объектов среды, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦покрывающий все уровни информационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инфраструктуры организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определенной в разделе 6 стандарта СТО¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦БР ИББС-1.0? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.5 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1276 ¦ ¦
¦ ¦процедуры анализа и пересмотра области¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ (в частности, процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотра при изменении перечня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов организации или¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.6 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦роли по определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M12.7 ¦Назначены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦ответственные за выполнение ролей по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определению/коррекции области действия¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ и по составлению и пересмотру ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦описи информационных активов (типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов), находящихся в¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M12 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M13 "Выбор/коррекция
подхода к оценке рисков нарушения ИБ и проведению оценки
рисков нарушения ИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.1 ¦Принята ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1154 ¦ ¦
¦ ¦корректируется ли методика оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ/подход к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.2 ¦Определены ли в организации критерии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1070 ¦ ¦
¦ ¦принятия рисков нарушения ИБ и уровень¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦допустимого риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.3 ¦Определяет ли методика оценки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0854 ¦ ¦
¦ ¦нарушения ИБ/подход к оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ организации способ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦порядок качественного или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦количественного оценивания риска ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ на основании оценивания: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- степени возможности реализации угроз¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ выявленными и (или) предполагаемыми¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦источниками угроз ИБ, зафиксированных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в моделях угроз и нарушителя, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результате их воздействия на объекты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦среды информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- степени тяжести последствий от ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦потери свойств ИБ, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦свойств доступности, целостности и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конфиденциальности для рассматриваемых¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов (типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.4 ¦Определяет ли порядок оценки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0854 ¦ ¦
¦ ¦нарушения ИБ необходимые процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки рисков нарушения ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦последовательность их выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.5 ¦Проводится ли оценка рисков нарушения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0676 ¦ ¦
¦ ¦ИБ для свойств ИБ всех информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных активов)¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.6 ¦Создан ли и поддерживается ли в ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0688 ¦ ¦
¦ ¦актуальном состоянии единый ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информационный ресурс (база данных), ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦содержащий информацию об инцидентах ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.7 ¦Соотносятся ли величины рисков, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0766 ¦ ¦
¦ ¦полученные в результате оценивания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ, с уровнем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦допустимого риска, принятого в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.8 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0766 ¦ ¦
¦ ¦перечень недопустимых рисков нарушения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, сформированный на основе сравнения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦полученных в результате оценивания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ величин рисков с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уровнем допустимого риска, принятого в¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.9 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0782 ¦ ¦
¦ ¦роли, связанные с деятельностью по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определению/коррекции методики оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ/подхода к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.10 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0782 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельностью по определению/коррекции¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦методики оценки рисков нарушения ИБ/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подхода к оценке риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.11 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0782 ¦ ¦
¦ ¦роли по оценке рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M13.12 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0826 ¦ ¦
¦ ¦выполнение ролей по оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M13 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M14 "Разработка планов обработки
рисков нарушения ИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M14.1 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦по каждому из недопустимых рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ план, определяющий один ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦из возможных способов обработки риска:¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- перенос риска на сторонние ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации (например, путем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦страхования указанного риска); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уход от риска (например, путем ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦отказа от деятельности, выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦которой приводит к появлению риска); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- осознанное принятие риска; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- формирование требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦снижающих риск до допустимого уровня, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и формирование планов по их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M14.2 ¦Согласованы ли планы обработки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦нарушения ИБ с руководителем службы ИБ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦либо лицом, отвечающим в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M14.3 ¦Утверждены ли руководством организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1814 ¦ ¦
¦ ¦планы обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M14.4 ¦Содержат ли планы реализации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1702 ¦ ¦
¦ ¦требований ИБ последовательность и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сроки реализации и внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организационных, технических и иных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M14.5 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1428 ¦ ¦
¦ ¦роли по разработке планов обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M14.6 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1428 ¦ ¦
¦ ¦выполнение ролей по разработке планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M14 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M15 "Определение/коррекция
внутренних документов, регламентирующих деятельность
в области обеспечения ИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.1 ¦Проводятся ли разработка и коррекция ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0406 ¦ ¦
¦ ¦внутренних документов, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦области обеспечения ИБ в организации, ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦с учетом рекомендаций по ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦стандартизации Банка России РС БР ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ИББС-2.0 "Обеспечение информационной ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦безопасности организаций банковской ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦системы Российской Федерации. ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦Методические рекомендации по ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦документации в области обеспечения ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информационной безопасности в ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с требованиями СТО БР ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦ИББС-1.0"? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.2 ¦Разработана ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0628 ¦ ¦
¦ ¦организации? Утверждена ли политика ИБ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.3 ¦Корректируется ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0557 ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.4 ¦Разработаны ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0580 ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.5 ¦Корректируются ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0557 ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.6 ¦Разработаны ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦документы, регламентирующие процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения отдельных видов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности, связанных с обеспечением¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.7 ¦Корректируются ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0489 ¦ ¦
¦ ¦документы, регламентирующие процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения отдельных видов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности, связанных с обеспечением¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.8 ¦Определены ли в организации перечень и¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0407 ¦ ¦
¦ ¦формы документов, являющихся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦свидетельством выполнения деятельности¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по обеспечению ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.9 ¦Определены ли в политике ИБ (частных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.10 ¦Корректируются ли в политике ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0486 ¦ ¦
¦ ¦(частных политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.11 ¦Разрабатываются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0519 ¦ ¦
¦ ¦документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- договорных требований организации со¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.12 ¦Корректируются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- договорных требований организации со¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.13 ¦Содержит ли совокупность внутренних ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0501 ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность в области обеспечения ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования по обеспечению ИБ всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выявленных информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦находящихся в области действия СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.14 ¦Не противоречат ли документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0510 ¦ ¦
¦ ¦регламентирующие процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦отдельных видов деятельности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦связанных с обеспечением ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положениям политики ИБ и частных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политик ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.15 ¦Детализируют ли документы, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0426 ¦ ¦
¦ ¦регламентирующие процедуры выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦отдельных видов деятельности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦связанных с обеспечением ИБ, положения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политики ИБ и частных политик ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.16 ¦Утвержден ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0354 ¦ ¦
¦ ¦порядок взаимодействия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(координирования работы) службы ИБ с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работниками, ответственными за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ в структурных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подразделениях организации (в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦наличия в структурных подразделениях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации работников, ответственных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.17 ¦Определены ли в составе документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0426 ¦ ¦
¦ ¦регламентирующих деятельность в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области обеспечения ИБ, перечень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦свидетельств выполнения указанной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности и ответственность ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦этой деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.18 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0443 ¦ ¦
¦ ¦процедуры выделения и распределения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ролей в области обеспечения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.19 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0406 ¦ ¦
¦ ¦порядок разработки, поддержки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотра и контроля исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.20 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0382 ¦ ¦
¦ ¦роли по разработке, поддержке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру и контролю исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M15.21 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0393 ¦ ¦
¦ ¦выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦поддержке, пересмотру и контролю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦исполнения внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M15 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M16 "Принятие руководством организации
БС РФ решений о реализации и эксплуатации СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M16.1 ¦Оформлены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2752 ¦ ¦
¦ ¦утверждены ли руководством решения о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации и эксплуатации СОИБ, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦частности, решения: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- об анализе и принятии остаточных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о планировании этапов внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, в частности, требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изложенных в 7-м и 8-м разделах СТО БР¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о распределении ролей в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о принятии со стороны руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов внедрения защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦направленных на реализацию требований ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦7-го и 8-го разделов СТО БР ИББС-1.0 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и снижение рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о выделении ресурсов, необходимых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для реализации и эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M16.2 ¦Утверждены ли руководством все планы ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2812 ¦ ¦
¦ ¦внедрения СОИБ, в частности, планы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации требований 7-го и 8-го ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разделов СТО БР ИББС-1.0, планы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обработки рисков нарушения ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внедрения защитных мер, в которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документально зафиксированы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- последовательность выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мероприятий в рамках указанных планов;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- сроки начала и окончания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦запланированных мероприятий; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- должностные лица (подразделения), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственные за выполнение каждого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанного мероприятия? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M16.3 ¦Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2096 ¦ ¦
¦ ¦разработки, пересмотра и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦исполнения планов по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M16.4 ¦Оформлены ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2340 ¦ ¦
¦ ¦руководства, связанные с назначением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и распределением ролей для всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦структурных подразделений в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с положениями ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M16 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M17 "Организация реализации планов
внедрения СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M17.1 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2540 ¦ ¦
¦ ¦и выполняются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проектирование/приобретение/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦развертывание, внедрение, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатация, контроль и сопровождение¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатации защитных мер (СИБ), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предусмотренных планами реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требований ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M17.2 ¦Реализуются ли при построении ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2688 ¦ ¦
¦ ¦элементов СИБ (применительно к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦конкретной области или сфере ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности организации) защитные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦меры, применяемые к объектам среды, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с существующими в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации требованиями обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, сформулированными в политике ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦других внутренних документах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M17.3 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2412 ¦ ¦
¦ ¦роли, связанные с реализацией планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обработки рисков нарушения ИБ и с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализацией требуемых защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M17.4 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2360 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализацией планов обработки рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ и с реализацией требуемых¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M17 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M18 "Разработка и организация
реализации программ по обучению и повышению осведомленности
в области ИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.1 ¦Организована ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1898 ¦ ¦
¦ ¦оформленная работа с персоналом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации в направлении повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности и обучения в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, включая разработку и реализацию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов и программ обучения и повышения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля результатов выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанных планов? Утверждена ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством указанная работа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.2 ¦Установлены ли в планах обучения и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1378 ¦ ¦
¦ ¦повышения осведомленности требования к¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦периодичности обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.3 ¦Включена ли в программы обучения и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1536 ¦ ¦
¦ ¦повышения осведомленности информация: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- по существующим политикам ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- по применяемым в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитным мерам; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- по правильному использованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренними документами организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о значимости и важности деятельности¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников для обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.4 ¦Определен ли в организации перечень ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦документов, являющихся свидетельством ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения программ обучения и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦повышения осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, в частности: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- документы (журналы), подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прохождение руководителями и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работниками организации обучения в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области ИБ с указанием уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦образования, навыков, опыта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и квалификации обучаемых; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- документы, содержащие результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проверок обучения работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- документы, содержащие результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проверок осведомленности в области ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.5 ¦Организуется ли для работника, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1396 ¦ ¦
¦ ¦получившего новую роль, обучение или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инструктаж в области ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствующий полученной роли? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.6 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1290 ¦ ¦
¦ ¦роли по разработке, реализации планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M18.7 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1338 ¦ ¦
¦ ¦выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации планов и программ обучения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и повышения осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ и по контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M18 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M19 "Организация обнаружения
и реагирования на инциденты безопасности"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.1 ¦Существуют ли в организации документы,¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1372 ¦ ¦
¦ ¦регламентирующие процедуры обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инцидентов, включающие: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры обнаружения инцидентов ИБ;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры информирования об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инцидентах; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры классификации инцидентов и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки ущерба, нанесенного инцидентом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры реагирования на инцидент; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры анализа причин инцидентов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ и оценки результатов реагирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на инциденты ИБ (при необходимости с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦участием внешних экспертов в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.2 ¦Сформирована и поддерживается ли в ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,1152 ¦ ¦
¦ ¦актуальном состоянии централизованная ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦база инцидентов ИБ? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.3 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1152 ¦ ¦
¦ ¦процедуры по хранению информации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- об инцидентах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о практиках анализа инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о результатах реагирования на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инциденты ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.4 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1124 ¦ ¦
¦ ¦порядок действий работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации при обнаружении нетипичных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦событий, связанных с ИБ, и порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информирования о данных событиях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.5 ¦Осведомлены ли работники организации о¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1124 ¦ ¦
¦ ¦порядке действий при обнаружении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нетипичных событий, связанных с ИБ, и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦порядке информирования о данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦событиях? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.6 ¦Учитывают ли процедуры расследования ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0948 ¦ ¦
¦ ¦инцидентов действующее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦законодательство Российской Федерации,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положения нормативных актов Банка ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦России, а также внутренних документов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации в области ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.7 ¦Принимаются и выполняются ли в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1076 ¦ ¦
¦ ¦организации документально оформленные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦решения по всем выявленным инцидентам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.8 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦роли по обнаружению, классификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реагированию, анализу и расследованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M19.9 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦выполнение ролей по обнаружению, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦классификации, реагированию, анализу и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦расследованию инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M19 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M20 "Организация
обеспечения непрерывности бизнеса и его восстановления
после прерываний"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.1 ¦Выделены ли в описи защищаемых ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0876 ¦ ¦
¦ ¦информационных активов организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активы, существенные для обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.2 ¦Определены ли документально в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0888 ¦ ¦
¦ ¦организации требования обеспечения ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующие вопросы обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.3 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0907 ¦ ¦
¦ ¦план обеспечения непрерывности бизнеса¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и его восстановления после возможного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прерывания, содержащий инструкции и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦порядок действий работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, в состав которого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦включены: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- условия активизации плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок действий, которые должны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦быть предприняты после инцидента ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(инструкции персонала); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры восстановления; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры тестирования и проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- план обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- обязанности работников организации с¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанием ответственных за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦каждого из положений плана? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.4 ¦Основывается ли разработка планов ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0673 ¦ ¦
¦ ¦обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦его восстановления после прерываний на¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документально оформленных результатах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки рисков нарушения ИБ организации¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦применительно к информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активам, существенным для обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.5 ¦Определены ли документально, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0801 ¦ ¦
¦ ¦реализованы и эксплуатируются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитные меры обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса применительно к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационным активам, существенным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для обеспечения непрерывности бизнеса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и его восстановления после прерывания?¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.6 ¦Основываются ли реализация и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0758 ¦ ¦
¦ ¦использование защитных мер обеспечения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствующих требованиях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.7 ¦Согласован ли план обеспечения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0593 ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерываний с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦существующими в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедурами обработки инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.8 ¦Определено ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0550 ¦ ¦
¦ ¦и выполняется ли периодическое ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦тестирование плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.9 ¦Составлен ли сценарий тестирования ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ ¦плана обеспечения непрерывности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦бизнеса и его восстановления после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прерывания с учетом существующей в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации модели угроз и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушителей, а также результатов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оценки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.10 ¦Проводится ли при необходимости ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0699 ¦ ¦
¦ ¦корректировка плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результатам тестирования? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.11 ¦Реализована ли в организации программа¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0593 ¦ ¦
¦ ¦обучения и повышения осведомленности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников в области обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерываний? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.12 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0717 ¦ ¦
¦ ¦и выполняются ли процедуры регулярного¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотра и обновления плана ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦его восстановления после прерывания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(для обеспечения уверенности в их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эффективности), учитывающие изменения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в приоритетах, целях и интересах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦бизнеса организации; пересмотр моделей¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦угроз; оценку рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.13 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0679 ¦ ¦
¦ ¦роли по разработке плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M20.14 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0679 ¦ ¦
¦ ¦выполнение ролей по разработке плана ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦его восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M20 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M21 "Мониторинг и контроль
защитных мер"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.1 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1482 ¦ ¦
¦ ¦процедуры мониторинга СОИБ и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер (включая контроль ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦параметров конфигурации и настроек ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦средств и механизмов защиты), которые ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦охватывают все реализованные и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эксплуатируемые защитные меры, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦входящие в СИБ, и проводятся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦персоналом организации, ответственным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.2 ¦Фиксируются ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦результаты выполнения процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.3 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1068 ¦ ¦
¦ ¦и выполняются ли процедуры сбора и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦хранения информации о действиях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников организации, событиях и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦параметрах, имеющих отношение к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционированию защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.4 ¦Включается ли в базу данных инцидентов¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1352 ¦ ¦
¦ ¦информация обо всех инцидентах ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выявленных в процессе мониторинга СОИБ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и контроля защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.5 ¦Подвергаются ли процедуры мониторинга ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1312 ¦ ¦
¦ ¦СОИБ и контроля защитных мер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регулярным и документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦зафиксированным пересмотрам в связи с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменениями в составе и способах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования защитных мер, выявлением¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦новых угроз и уязвимостей ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на основе данных об инцидентах ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.6 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1066 ¦ ¦
¦ ¦порядок пересмотра процедур ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.7 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦роли, связанные с выполнением процедур¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер, а также с пересмотром указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M21.8 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1184 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнением процедур мониторинга СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и контроля защитных мер, а также с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотром указанных процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M21 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M22 "Проведение самооценки ИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.1 ¦Проводится ли самооценка ИБ в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1340 ¦ ¦
¦ ¦соответствии с настоящим стандартом? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.2 ¦Организован ли порядок проведения ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,1118 ¦ ¦
¦ ¦самооценки ИБ в соответствии с ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦рекомендациями по стандартизации Банка¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦России РС БР ИББС-2.1 "Обеспечение ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦информационной безопасности ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦организаций банковской системы ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦Российской Федерации. Руководство по ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦самооценке соответствия информационной¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦безопасности организаций банковской ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦системы Российской Федерации ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦требованиям СТО БР ИББС-1.0"? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.3 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦и реализована ли программа самооценок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, содержащая информацию, необходимую¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для планирования и организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦самооценок ИБ, их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершенствования, а также обеспечения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведения указанных самооценок ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.4 ¦Определены ли в документах ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1098 ¦ ¦
¦ ¦организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок формирования, сбора и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦хранения свидетельств самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- периодичность проведения самооценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок хранения и использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результатов самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.5 ¦Оформлен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0978 ¦ ¦
¦ ¦для каждой проводимой в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦самооценки ИБ план ее проведения, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦определяющий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- цель самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- объекты и деятельность, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подвергающиеся самооценке ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок и сроки выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мероприятий самооценки ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- распределение ролей среди работников¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, связанных с проведением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦самооценки ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.6 ¦Подготавливаются ли по результатам ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1150 ¦ ¦
¦ ¦самооценок ИБ отчеты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.7 ¦Доводятся ли результаты самооценок ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1262 ¦ ¦
¦ ¦и соответствующие отчеты до ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководства организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.8 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1014 ¦ ¦
¦ ¦роли, связанные с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M22.9 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1014 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнением программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M22 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M23 "Проведение аудита ИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.1 ¦Проводится ли аудит ИБ организации в ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1192 ¦ ¦
¦ ¦соответствии с требованиями стандарта ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Банка России СТО БР ИББС-1.1 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦"Обеспечение информационной ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦безопасности организаций банковской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦системы Российской Федерации. Аудит ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационной безопасности" и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦настоящего стандарта? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.2 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0974 ¦ ¦
¦ ¦и реализуется ли программа аудитов ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦содержащая информацию, необходимую для¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планирования и организации аудитов ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершенствования, а также обеспечения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведения указанных аудитов ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.3 ¦Оформлен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1112 ¦ ¦
¦ ¦для каждого проводимого в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудита ИБ план аудита, определяющий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- цель аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- критерии аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- область аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- дату и продолжительность проведения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- состав аудиторской группы; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- описание деятельности и мероприятий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по проведению аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- распределение ресурсов при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведении аудита ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.4 ¦Оформлены ли договоры с аудиторскими ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1246 ¦ ¦
¦ ¦организациями и определены ли в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствующих документах: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок хранения, доступа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования материалов, получаемых в¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессе проведения аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок взаимодействия с аудиторской¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организацией в процессе проведения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудита ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок взаимодействия аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦группы и руководства, позволяющий ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦представителям аудиторской группы при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости непосредственно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обращаться к руководству; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок организации опроса ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работников; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок организации наблюдения за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельностью работников организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦со стороны представителей аудиторской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.5 ¦Подготавливаются ли по результатам ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1186 ¦ ¦
¦ ¦аудитов ИБ отчеты? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.6 ¦Доводятся ли результаты аудитов ИБ и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1312 ¦ ¦
¦ ¦соответствующие отчеты до руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.7 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0886 ¦ ¦
¦ ¦порядок хранения, доступа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования материалов, получаемых в¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессе проведения аудитов, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦частности, отчетов аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.8 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1046 ¦ ¦
¦ ¦роли, связанные с организацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения программ аудитов и планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦отдельных аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M23.9 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1046 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организацией выполнения программ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудитов и планов отдельных внешних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M23 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M24 "Анализ функционирования СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.1 ¦Проводится ли в организации анализ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1274 ¦ ¦
¦ ¦функционирования СОИБ, использующий в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦том числе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- результаты мониторинга СОИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля защитных мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- сведения об инцидентах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- результаты проведения аудитов ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- данные об угрозах, возможных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушителях и уязвимостях ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- данные об изменениях внутри ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, например, данные об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменениях в процессах и технологиях, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализуемых в рамках основного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процессного потока, изменениях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦во внутренних документах организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- данные об изменениях вне ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, например, данные об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменениях в законодательстве ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Российской Федерации, изменениях в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требованиях комплекса БР ИББС, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменениях в договорных обязательствах¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.2 ¦Проводится ли анализ соответствия ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦комплекса внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ в организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требованиям законодательства РФ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требованиям стандартов Банка России, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контрактным требованиям организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.3 ¦Проводится ли анализ соответствия ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1002 ¦ ¦
¦ ¦внутренних документов нижних уровней ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦иерархии, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность по обеспечению ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, требованиям политик ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.4 ¦Проводится ли оценка рисков в области ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0946 ¦ ¦
¦ ¦ИБ организации, включая оценку уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦остаточного и допустимого рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.5 ¦Проводится ли проверка адекватности ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0946 ¦ ¦
¦ ¦модели угроз организации существующим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦угрозам ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.6 ¦Проводится ли оценка адекватности ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0930 ¦ ¦
¦ ¦используемых защитных мер требованиям ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов организации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результатам оценки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.7 ¦Проводится ли анализ отсутствия ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0822 ¦ ¦
¦ ¦разрывов в технологических процессах ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦несогласованности в использовании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.8 ¦Документируются ли результаты анализа ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1026 ¦ ¦
¦ ¦функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.9 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0998 ¦ ¦
¦ ¦роли, связанные с процедурами анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M24.10 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0998 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедурами анализа функционирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M24 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M25 "Анализ СОИБ со стороны
руководства организации БС РФ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.1 ¦Утвержден ли в организации перечень ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1376 ¦ ¦
¦ ¦документов (данных), необходимых для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦формирования информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предоставляемой руководству с целью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведения анализа СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.2 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1464 ¦ ¦
¦ ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, отчеты с результатами: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- мониторинга СОИБ и контроля защитных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.3 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1318 ¦ ¦
¦ ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, документы, содержащие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информацию: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о способах и методах защиты, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мерах или процедурах их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования, которые могли бы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использоваться для улучшения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о новых выявленных уязвимостях и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦угрозах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о действиях, предпринятых по итогам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предыдущих анализов СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществленных руководством; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- об изменениях, которые могли бы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦повлиять на организацию СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦например, изменения в законодательстве¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Российской Федерации и (или) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положениях стандартов Банка России; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о выявленных инцидентах ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.4 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1154 ¦ ¦
¦ ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, документы, подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение требуемой деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ, например, выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов обработки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.5 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1228 ¦ ¦
¦ ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, документы, подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение требований непрерывности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦бизнеса и его восстановления после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.6 ¦Определен ли в организации и утвержден¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1104 ¦ ¦
¦ ¦ли руководством план выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности по контролю и анализу ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, содержащий, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положения по проведению совещаний на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уровне руководства, на которых в том ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦числе производятся поиск и анализ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проблем ИБ, влияющих на бизнес ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.7 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1178 ¦ ¦
¦ ¦роли, связанные с подготовкой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации, необходимой для анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M25.8 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1178 ¦ ¦
¦ ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подготовкой информации, необходимой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для анализа СОИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M25 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M26 "Принятие решений по тактическим
улучшениям СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.1 ¦Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦решений, связанных с тактическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениями СОИБ, документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оформленные результаты: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- мониторинга СОИБ и контроля защитных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- обработки инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выявления новых угроз и уязвимостей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- оценки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа перечня защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦возможных для применения; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- стратегических улучшений СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа СОИБ со стороны руководства;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа успешных практик в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ (собственных или других ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организаций)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.2 ¦Оформляются ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦по тактическим улучшениям СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦содержащие либо выводы об отсутствии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости тактических улучшений ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, либо направления тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.3 ¦Формируются ли направления тактических¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1216 ¦ ¦
¦ ¦улучшений СОИБ в виде корректирующих и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦превентивных действий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.4 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1354 ¦ ¦
¦ ¦планы реализации тактических улучшений¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.5 ¦Существуют ли в организации документы,¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1272 ¦ ¦
¦ ¦в которых фиксируются результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения планов реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.6 ¦Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1300 ¦ ¦
¦ ¦руководство службы ИБ организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность, связанную с реализацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.7 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0934 ¦ ¦
¦ ¦и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦согласования и информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заинтересованных сторон о тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениях СОИБ, в частности, об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изменениях, относящихся к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, к ответственности в области ИБ, к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требованиям ИБ? Фиксируются ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты выполнения указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M26.8 ¦Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1216 ¦ ¦
¦ ¦реализацию решений по тактическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M26 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M27 "Принятие решений
по стратегическим улучшениям СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.1 ¦Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1130 ¦ ¦
¦ ¦решений, связанных со стратегическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениями СОИБ, документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦оформленные результаты: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- самооценок ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- мониторинга СОИБ и контроля защитных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- обработки инцидентов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выявления новых информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов организации или их типов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выявления новых угроз и уязвимостей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- оценки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- пересмотра основных рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа СОИБ со стороны руководства;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа успешных практик в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ (собственных или других ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организаций)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.2 ¦Рассматриваются ли при принятии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦решений, связанных со стратегическими ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениями СОИБ, изменения интересов,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦целей и задач бизнеса организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контрактных обязательств организации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦а также изменения в законодательстве ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦РФ и нормативных актах Банка России? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.3 ¦Оформляются ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0984 ¦ ¦
¦ ¦по стратегическим улучшениям СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦содержащие либо выводы об отсутствии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости стратегических улучшений¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, либо направления стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.4 ¦Формируются ли направления ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0984 ¦ ¦
¦ ¦стратегических улучшений СОИБ в виде ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦корректирующих или превентивных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действий, например: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение/пересмотр целей и задач ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ, определенных в рамках ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политики ИБ (частных политик ИБ) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- изменения в области действия СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение описи типов информационных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- пересмотр моделей угроз и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- изменение подходов к оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, критериев принятия риска ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.5 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1016 ¦ ¦
¦ ¦планы реализации стратегических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.6 ¦Существуют ли в организации документы,¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0962 ¦ ¦
¦ ¦в которых фиксируются результаты ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения планов реализации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.7 ¦Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1108 ¦ ¦
¦ ¦руководство организации деятельность, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦связанную с реализацией стратегических¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.8 ¦В случае стратегических улучшений СОИБ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1058 ¦ ¦
¦ ¦выполняется ли деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализации соответствующих тактических¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ для всех необходимых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедур обеспечения ИБ, используемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер и соответствующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполняются ли: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- выработка планов тактических ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение планов обработки рисков; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение программы внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- уточнение процедур использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.9 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0822 ¦ ¦
¦ ¦и выполняются ли процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦согласования и информирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заинтересованных сторон о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стратегических улучшениях СОИБ, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦частности, об изменениях, относящихся ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦к обеспечению ИБ, к ответственности в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦области ИБ, к требованиям ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Фиксируются ли документально ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦результаты выполнения указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M27.10 ¦Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0878 ¦ ¦
¦ ¦реализацию решений по стратегическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M27 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M28 "Оценка деятельности руководства
организации БС РФ по поддержке функционирования службы ИБ
организации БС РФ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.1 ¦Сформирована ли руководством служба ИБ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0816 ¦ ¦
¦ (аналог ¦(назначено ли уполномоченное лицо) для¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.1) ¦реализации, эксплуатации, контроля и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦поддержания на должном уровне СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦утверждены ли цели и задачи ее ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельности? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.2 ¦Имеет ли служба ИБ утвержденные ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0753 ¦ ¦
¦ (аналог ¦руководством полномочия и ресурсы, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.2) ¦необходимые для выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦установленных целей и задач? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.3 ¦Имеет ли служба ИБ назначенного из ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0750 ¦ ¦
¦ (аналог ¦числа руководства куратора, который ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.3) ¦при этом не является куратором службы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информатизации (автоматизации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.4 ¦Наделена ли служба ИБ собственным ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0530 ¦ ¦
¦ (аналог ¦бюджетом? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ M11.4) ¦ ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.5 ¦Сформированы ли для организаций, ¦ рекомендуемый ¦//¦////¦////¦////¦ ¦ ¦ 0,0615 ¦ ¦
¦ (аналог ¦имеющих сеть филиалов или региональных¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ M11.5) ¦представительств, подразделения ИБ ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦(уполномоченные лица) на местах и ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦обеспечены ли эти подразделения ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦необходимыми ресурсами и нормативной ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
¦ ¦базой? ¦ ¦//¦////¦////¦////¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.6 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0694 ¦ ¦
¦ (аналог ¦лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.6) ¦составление и контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение всех планов по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.7 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦лицо) полномочиями разрабатывать и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.7) ¦вносить предложения по изменению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦политик ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.8 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦лицо) полномочиями организовывать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.8) ¦изменения существующих и принятие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством новых внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.9 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0781 ¦ ¦
¦ (аналог ¦лицо) полномочиями определять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.9) ¦требования к мерам обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.10 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦лицо) полномочиями контролировать ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.10) ¦работников организации в части ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения ими требований внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность в области обеспечения ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦в первую очередь работников, имеющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦максимальные полномочия по доступу к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемым информационным активам? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.11 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0725 ¦ ¦
¦ (аналог ¦лицо) полномочиями осуществлять ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.11) ¦мониторинг событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечением ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.12 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ (аналог ¦лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.12) ¦расследовании событий, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инцидентами ИБ, и выходить в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦необходимости с предложениями по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦применению санкций в отношении лиц, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществивших НСД и НРД (например, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушивших требования инструкций, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководств по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.13 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0587 ¦ ¦
¦ (аналог ¦лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.13) ¦действиях по восстановлению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работоспособности АБС после сбоев и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аварий? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M28.14 ¦Наделена ли служба ИБ (уполномоченное ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0787 ¦ ¦
¦ (аналог ¦лицо) полномочиями участвовать в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M11.14) ¦создании, поддержании, эксплуатации и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершенствовании СОИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M28 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M29 "Оценка деятельности
руководства организации БС РФ по принятию решений
о реализации и эксплуатации СОИБ"
-------------T--------------------------------------T---------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M29.1 ¦Оформлены ли документально и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2752 ¦ ¦
¦ (аналог ¦утверждены ли руководством решения о ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M16.1) ¦реализации и эксплуатации СОИБ, в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦частности, решения: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- об анализе и принятии остаточных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о планировании этапов внедрения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, в частности, требований ИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦изложенных в 7-м и 8-м разделах СТО БР¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о распределении ролей в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечения ИБ организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о принятии со стороны руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов внедрения защитных мер, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦направленных на реализацию требований ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦7-го и 8-го разделов СТО БР ИББС-1.0 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и снижение рисков ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о выделении ресурсов, необходимых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для реализации и эксплуатации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M29.2 ¦Утверждены ли руководством все планы ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2812 ¦ ¦
¦ (аналог ¦внедрения СОИБ, в частности, планы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M16.2) ¦реализации требований 7-го и 8-го ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разделов СТО БР ИББС-1.0, планы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обработки рисков нарушения ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внедрения защитных мер, в которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документально зафиксированы: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- последовательность выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мероприятий в рамках указанных планов;¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- сроки начала и окончания ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦запланированных мероприятий; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- должностные лица (подразделения), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ответственные за выполнение каждого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанного мероприятия? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M29.3 ¦Определен ли документально порядок ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2096 ¦ ¦
¦ (аналог ¦разработки, пересмотра и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M16.3) ¦исполнения планов по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦ M29.4 ¦Оформлены ли документально решения ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2340 ¦ ¦
¦ (аналог ¦руководства, связанные с назначением и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M16.4) ¦распределением ролей для всех ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦структурных подразделений в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦соответствии с положениями внутренних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦документов, регламентирующих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦деятельность по обеспечению ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M29 ¦ ¦
L----------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M30 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
-------------T--------------------------------------T--------------T--------------------------T-----------T-------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность¦ Оценка частного ¦Коэффициент¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦значимости ¦ значение ¦
¦ показателя ¦ ¦ +---T----T---T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ 0 ¦0,25¦0,5¦0,75¦ 1 ¦н/о ¦показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.1 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦и корректируется ли опись ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M12.1) ¦структурированных по классам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемых информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов - типов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информации)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.2 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦роли по определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M12.6) ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.3 ¦Назначены ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦ответственные за выполнение ролей по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M12.7) ¦определению/коррекции области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ и по составлению и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотру описи информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов (типов информационных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦активов), находящихся в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦действия СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.4 ¦Принята ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦корректируется ли методика оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.1) ¦рисков нарушения ИБ/подход к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.5 ¦Определены ли в организации критерии ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦принятия рисков нарушения ИБ и уровень¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.2) ¦допустимого риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.6 ¦Определяет ли порядок оценки рисков ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦нарушения ИБ необходимые процедуры ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.4) ¦оценки рисков нарушения ИБ, а также ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦последовательность их выполнения? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.7 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦роли, связанные с деятельностью по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.9) ¦определению/коррекции методики оценки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦рисков нарушения ИБ/подхода к оценке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.8 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.10) ¦деятельностью по определению/коррекции¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦методики оценки рисков нарушения ИБ/ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подхода к оценке риска нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.9 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦роли по оценке рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.11) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.10 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦выполнение ролей по оценке рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M13.12) ¦нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.11 ¦Утверждены ли руководством организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦планы обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M14.3) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.12 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦роли по разработке планов обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M14.5) ¦рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.13 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦выполнение ролей по разработке планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M14.6) ¦обработки рисков нарушения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.14 ¦Разработана ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ (аналог ¦организации? Утверждена ли политика ИБ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.2) ¦руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.15 ¦Корректируется ли политика ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.3) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.16 ¦Разработаны ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ (аналог ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.4) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.17 ¦Корректируются ли частные политики ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.5) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.18 ¦Определены ли в политике ИБ (частных ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.9) ¦- цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.19 ¦Корректируются ли в политике ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦(частных политиках ИБ) организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.10) ¦- цели и задачи обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦основные области обеспечения ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- типы основных защищаемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- модели угроз и нарушителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- совокупность правил, требований и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководящих принципов в области ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные требования к обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы противодействия угрозам ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦по отношению к типам основных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защищаемых информационных активов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- основные принципы повышения уровня ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осознания и осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- принципы реализации и контроля ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнения требований политики ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.20 ¦Разрабатываются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0408 ¦ ¦
¦ (аналог ¦документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.11) ¦деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- договорных требований организации со¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.21 ¦Корректируются ли внутренние ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦документы, регламентирующие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.12) ¦деятельность в области обеспечения ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦на основе: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- законодательства Российской ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Федерации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- комплекса БР ИББС, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦требования 7-го и 8-го разделов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦стандарта СТО БР ИББС-1.0; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- нормативных актов и предписаний ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регулирующих и надзорных органов; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- договорных требований организации со¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦сторонними организациями; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- результатов оценки рисков, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполненной с соответствующей уровню ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦разрабатываемого документа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦детализацией рассматриваемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информационных активов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(типов информационных активов)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.22 ¦Утвержден ли руководством организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦порядок взаимодействия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.16) ¦(координирования работы) службы ИБ с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦работниками, ответственными за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечение ИБ в структурных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦подразделениях организации (в случае ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦наличия в структурных подразделениях ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации работников, ответственных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦за обеспечение ИБ)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.23 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0345 ¦ ¦
¦ (аналог ¦процедуры выделения и распределения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.18) ¦ролей в области обеспечения ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.24 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0386 ¦ ¦
¦ (аналог ¦роли по разработке, поддержке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.20) ¦пересмотру и контролю исполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.25 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M15.21) ¦поддержке, пересмотру и контролю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦исполнения внутренних документов, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦регламентирующих деятельность по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.26 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦роли, связанные с реализацией планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M17.3) ¦обработки рисков нарушения ИБ и с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦реализацией требуемых защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦ M30.27 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0364 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M17.4) ¦реализацией планов обработки рисков ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦нарушения ИБ и с реализацией требуемых¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мер? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+--------------+---+----+---+----+---+----+-----------+-------------+
¦Итоговая оценка группового показателя M30 ¦ ¦
L---------------------------------------------------------------------------------------------------------+--------------
Групповой показатель M31 "Оценка деятельности руководства
организации БС РФ по поддержке реализации СОИБ"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.1 ¦Организована ли документально ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1442 ¦ ¦
¦ (аналог ¦оформленная работа с персоналом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M18.1) ¦организации в направлении повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности и обучения в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ, включая разработку и реализацию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов и программ обучения и повышения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контроля результатов выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанных планов? Утверждена ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководством указанная работа? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.2 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1024 ¦ ¦
¦ (аналог ¦роли по разработке, реализации планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M18.6) ¦и программ обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности в области ИБ и по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.3 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1024 ¦ ¦
¦ (аналог ¦выполнение ролей по разработке, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M18.7) ¦реализации планов и программ обучения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и повышения осведомленности в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ИБ и по контролю их результатов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.4 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1404 ¦ ¦
¦ (аналог ¦роли по обнаружению, классификации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M19.8) ¦реагированию, анализу и расследованию ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.5 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1268 ¦ ¦
¦ (аналог ¦выполнение ролей по обнаружению, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M19.9) ¦классификации, реагированию, анализу и¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦расследованию инцидентов ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.6 ¦Определен ли в документах организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1442 ¦ ¦
¦ (аналог ¦план обеспечения непрерывности бизнеса¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M20.3) ¦и его восстановления после возможного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прерывания, содержащий инструкции и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦порядок действий работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации, в состав которого ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦включены: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- условия активизации плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- порядок действий, которые должны ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦быть предприняты после инцидента ИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦(инструкции персонала); ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры восстановления; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- процедуры тестирования и проверки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦плана; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- план обучения и повышения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осведомленности работников ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- обязанности работников организации с¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦указанием ответственных за выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦каждого из положений плана? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.7 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1198 ¦ ¦
¦ (аналог ¦роли по разработке плана обеспечения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M20.13) ¦непрерывности бизнеса и его ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M31.8 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1198 ¦ ¦
¦ (аналог ¦выполнение ролей по разработке плана ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M20.14) ¦обеспечения непрерывности бизнеса и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦его восстановления после прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M31 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Групповой показатель M32 "Оценка деятельности руководства
организации БС РФ по поддержке проверки СОИБ"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.1 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0921 ¦ ¦
¦ (аналог ¦роли, связанные с выполнением процедур¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M21.7) ¦мониторинга СОИБ и контроля защитных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер, а также с пересмотром указанных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.2 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0921 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M21.8) ¦выполнением процедур мониторинга СОИБ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦и контроля защитных мер, а также с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦пересмотром указанных процедур? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.3 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0848 ¦ ¦
¦ (аналог ¦и реализована ли программа самооценок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M22.3) ¦ИБ, содержащая информацию, необходимую¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для планирования и организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦самооценок ИБ, их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершенствования, а также обеспечения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведения указанных самооценок ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.4 ¦Доводятся ли результаты самооценок ИБ ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0943 ¦ ¦
¦ (аналог ¦и соответствующие отчеты до ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M22.7) ¦руководства организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.5 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0734 ¦ ¦
¦ (аналог ¦роли, связанные с выполнением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M22.8) ¦программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.6 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0734 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M22.9) ¦выполнением программы самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.7 ¦Определена ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0808 ¦ ¦
¦ (аналог ¦и реализована ли программа аудитов ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M23.2) ¦содержащая информацию, необходимую для¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планирования и организации аудитов ИБ,¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦их контроля, анализа и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦совершенствования, а также обеспечения¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦их ресурсами, необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦эффективного и результативного ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведения указанных аудитов ИБ в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦заданные сроки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.8 ¦Доводятся ли результаты аудитов ИБ и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0969 ¦ ¦
¦ (аналог ¦соответствующие отчеты до руководства ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M23.6) ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.9 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0805 ¦ ¦
¦ (аналог ¦роли, связанные с организацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M23.8) ¦выполнения программ аудитов и планов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦отдельных аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.10 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0805 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M23.9) ¦организацией выполнения программ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудитов и планов отдельных внешних ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦аудитов? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.11 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0756 ¦ ¦
¦ (аналог ¦роли, связанные с процедурами анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M24.9) ¦функционирования СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M32.12 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,0756 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M24.10) ¦процедурами анализа функционирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M32 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Групповой показатель M33 "Оценка деятельности руководства
организации БС РФ по анализу СОИБ"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.1 ¦Утвержден ли в организации перечень ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1376 ¦ ¦
¦ (аналог ¦документов (данных), необходимых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.1) ¦для формирования информации, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предоставляемой руководству с целью ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проведения анализа СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.2 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1464 ¦ ¦
¦ (аналог ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.2) ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, отчеты с результатами: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- мониторинга СОИБ и контроля защитных¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦мер; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- анализа функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- аудитов ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- самооценок ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.3 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1338 ¦ ¦
¦ (аналог ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.3) ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, документы, содержащие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦информацию: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о способах и методах защиты, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦защитных мерах или процедурах их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использования, которые могли бы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦использоваться для улучшения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦функционирования СОИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о новых выявленных уязвимостях и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦угрозах ИБ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о действиях, предпринятых по итогам ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦предыдущих анализов СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦осуществленных руководством; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- об изменениях, которые могли бы ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦повлиять на организацию СОИБ, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦например, изменения в законодательстве¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦Российской Федерации и (или) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положениях стандартов Банка России; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦- о выявленных инцидентах ИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.4 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1154 ¦ ¦
¦ (аналог ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.4) ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, документы, подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение требуемой деятельности по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦обеспечению ИБ, например, выполнение ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦планов обработки рисков? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.5 ¦Входят ли в перечень документов, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1228 ¦ ¦
¦ (аналог ¦необходимых для формирования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.5) ¦информации, предоставляемой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦руководству с целью проведения анализа¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, документы, подтверждающие ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦выполнение требований непрерывности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦бизнеса и его восстановления после ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦прерывания? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.6 ¦Определен ли в организации и утвержден¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1104 ¦ ¦
¦ (аналог ¦ли руководством план выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.6) ¦деятельности по контролю и анализу ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ, содержащий, в частности, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦положения по проведению совещаний на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦уровне руководства, на которых в том ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦числе производятся поиск и анализ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦проблем ИБ, влияющих на бизнес ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦организации? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.7 ¦Определены ли в документах организации¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1178 ¦ ¦
¦ (аналог ¦роли, связанные с подготовкой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.7) ¦информации, необходимой для анализа ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦СОИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M33.8 ¦Назначены ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,1178 ¦ ¦
¦ (аналог ¦выполнение ролей, связанных с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M25.8) ¦подготовкой информации, необходимой ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦для анализа СОИБ руководством? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M33 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Групповой показатель M34 "Оценка деятельности руководства
по поддержке совершенствования СОИБ"
-------------T--------------------------------------T---------------T--------------------------T------------T------------¬
¦Обозначение ¦ Частный показатель ИБ ¦Обязательность ¦ Оценка частного ¦Коэффициент ¦Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ +--T----T----T----T---T----+ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦0 ¦0,25¦0,5 ¦0,75¦ 1 ¦н/о ¦ показателя ¦ ИБ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ИБ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M34.1 ¦Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2560 ¦ ¦
¦ (аналог ¦руководство службы ИБ организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M26.6) ¦деятельность, связанную с реализацией ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦тактических улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M34.2 ¦Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2248 ¦ ¦
¦ (аналог ¦реализацию решений по тактическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M26.8) ¦улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M34.3 ¦Санкционирует и контролирует ли ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2816 ¦ ¦
¦ (аналог ¦руководство организации деятельность, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M27.7) ¦связанную с реализацией стратегических¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦улучшений СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦ M34.4 ¦Назначаются ли ответственные за ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ 0,2376 ¦ ¦
¦ (аналог ¦реализацию решений по стратегическим ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ M27.10) ¦улучшениям СОИБ? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
+------------+--------------------------------------+---------------+--+----+----+----+---+----+------------+------------+
¦Итоговая оценка группового показателя M34 ¦ ¦
L-----------------------------------------------------------------------------------------------------------+-------------
Приложение Б
(обязательное)
Форма листов для сбора свидетельств аудита ИБ
------------T-------------------------T-------------T------------T--------¬
¦Обозначение¦Источники свидетельств и ¦ Кем ¦ Подпись ¦ Дата ¦
¦ частного ¦ свидетельства аудита ИБ ¦предоставлены¦сотрудника/ ¦ ¦
¦показателя ¦ (документы, результаты ¦свидетельства¦руководителя¦ ¦
¦ ИБ ¦ опроса или наблюдений) ¦ аудита ИБ ¦ ¦ ¦
+-----------+-------------------------+-------------+------------+--------+
¦ ¦ ¦ ¦ ¦ ¦
+-----------+-------------------------+-------------+------------+--------+
¦ ¦ ¦ ¦ ¦ ¦
+-----------+-------------------------+-------------+------------+--------+
¦ ¦ ¦ ¦ ¦ ¦
+-----------+-------------------------+-------------+------------+--------+
¦ ¦ ¦ ¦ ¦ ¦
+-----------+-------------------------+-------------+------------+--------+
¦ ¦ ¦ ¦ ¦ ¦
L-----------+-------------------------+-------------+------------+---------
_____________________
(подпись)
_____________________
(подпись)
_____________________
(подпись)
Приложение В
(обязательное)
УТОЧНЯЮЩИЕ ВОПРОСЫ ЧАСТНЫХ ПОКАЗАТЕЛЕЙ ИБ
ДЛЯ ОЦЕНКИ СТЕПЕНИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ СТО БР ИББС-1.0,
РЕГЛАМЕНТИРУЮЩИХ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИСПДН
Таблица 1. Уточняющие вопросы частных показателей ИБ
---------T---------T---------------------------------------T--------------¬
¦№ уточ- ¦ Пункт ¦ Уточняющий вопрос ¦ Частный ¦
¦няющего ¦ РС БР ¦ ¦ показатель ¦
¦вопроса ¦ИББС-2.3 ¦ ¦ СТО БР ¦
¦ ¦ ¦ ¦ ИББС-1.2 ¦
+--------+---------+---------------------------------------+--------------+
¦ 1 ¦ 5.2 ¦ Отнесена ли каждая информационная ¦M10.2, M10.3, ¦
¦ ¦ ¦система персональных данных (ИСПДн) ¦M12.2, M12.3, ¦
¦ ¦ ¦организации к одному из следующих ¦M12.4 ¦
¦ ¦ ¦классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И, ¦ ¦
¦ ¦ ¦ИСПДн-Д <*>? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 2 ¦ 6.1.1 ¦ Реализуются ли требования по ¦M2.1, M2.2, ¦
¦ ¦ ¦обеспечению безопасности персональных ¦M2.3, M2.4 ¦
¦ ¦ ¦данных в ИСПДн комплексом ¦ ¦
¦ ¦ ¦организационных, технологических, ¦ ¦
¦ ¦ ¦технических и программных мер, средств ¦ ¦
¦ ¦ ¦и механизмов защиты информации? ¦ ¦
¦ ¦ ¦ Осуществляется ли реализация ¦ ¦
¦ ¦ ¦требований и (или) организуется ли ¦ ¦
¦ ¦ ¦выполнение требований по обеспечению ¦ ¦
¦ ¦ ¦безопасности персональных данных ¦ ¦
¦ ¦ ¦структурным подразделением или ¦ ¦
¦ ¦ ¦должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных, либо на договорной основе ¦ ¦
¦ ¦ ¦организацией - контрагентом ¦ ¦
¦ ¦ ¦организации, имеющей лицензию на ¦ ¦
¦ ¦ ¦деятельность по технической защите ¦ ¦
¦ ¦ ¦конфиденциальной информации? ¦ ¦
¦ ¦ ¦ Допускается возложение ¦ ¦
¦ ¦ ¦ответственности за организацию работы ¦ ¦
¦ ¦ ¦по обеспечению безопасности ¦ ¦
¦ ¦ ¦персональных данных на существующее в ¦ ¦
¦ ¦ ¦организации подразделение (например, ¦ ¦
¦ ¦ ¦на службу ИБ). ¦ ¦
¦ ¦ ¦ Осуществляется ли реализация ¦ ¦
¦ ¦ ¦требований по обеспечению безопасности ¦ ¦
¦ ¦ ¦ПДн по согласованию и под контролем ¦ ¦
¦ ¦ ¦службы ИБ организации? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 3 ¦ 6.1.2 ¦ Включает ли создание ИСПДн ¦M2.1, M2.2, ¦
¦ ¦ ¦организации разработку и согласование ¦M2.3, M2.5, ¦
¦ ¦ ¦(утверждение) предусмотренной ¦M2.6, M8.3, ¦
¦ ¦ ¦техническим заданием организационно- ¦M8.5, M15.6, ¦
¦ ¦ ¦распорядительной, проектной и ¦M15.7 ¦
¦ ¦ ¦эксплуатационной документации на ¦ ¦
¦ ¦ ¦создаваемую систему (в документации ¦ ¦
¦ ¦ ¦должны быть отражены вопросы ¦ ¦
¦ ¦ ¦обеспечения безопасности обрабатываемых¦ ¦
¦ ¦ ¦персональных данных)? ¦ ¦
¦ ¦ ¦ Осуществляются ли разработка ¦ ¦
¦ ¦ ¦концепций, технических заданий, ¦ ¦
¦ ¦ ¦проектирование, создание и ¦ ¦
¦ ¦ ¦тестирование, приемка и ввод в действие¦ ¦
¦ ¦ ¦ИСПДн по согласованию и под контролем ¦ ¦
¦ ¦ ¦структурного подразделения или ¦ ¦
¦ ¦ ¦должностного лица (работника) ¦ ¦
¦ ¦ ¦организации, ответственного за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных, и службы ИБ организации? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 4 ¦ 6.1.3 ¦ Защищены ли от воздействий ¦M4.1, M4.5 ¦
¦ ¦ ¦вредоносного кода все информационные ¦ ¦
¦ ¦ ¦активы, принадлежащие ИСПДн ¦ ¦
¦ ¦ ¦организации? ¦ ¦
¦ ¦ ¦ Определены ли в организации и ¦ ¦
¦ ¦ ¦зафиксированы ли документально ¦ ¦
¦ ¦ ¦требования по обеспечению безопасности ¦ ¦
¦ ¦ ¦персональных данных средствами ¦ ¦
¦ ¦ ¦антивирусной защиты и порядок ¦ ¦
¦ ¦ ¦проведения контроля реализации этих ¦ ¦
¦ ¦ ¦требований в соответствии с ¦ ¦
¦ ¦ ¦требованиями пункта 7.5 СТО БР ¦ ¦
¦ ¦ ¦ИББС-1.0? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 5 ¦ 6.1.4 ¦ Определена ли в организации система ¦M3.5, M3.6, ¦
¦ ¦ ¦контроля доступа, позволяющая ¦M3.7, M3.8 ¦
¦ ¦ ¦осуществлять контроль доступа к ¦ ¦
¦ ¦ ¦коммуникационным портам, устройствам ¦ ¦
¦ ¦ ¦ввода-вывода информации, съемным ¦ ¦
¦ ¦ ¦машинным носителям и внешним ¦ ¦
¦ ¦ ¦накопителям информации ИСПДн? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 6 ¦ 6.1.5 ¦ Действуют ли работники, ¦M1.1, M1.3, ¦
¦ ¦ ¦осуществляющие обработку персональных ¦M1.4, M1.19, ¦
¦ ¦ ¦данных в ИСПДн, в соответствии с ¦M16.1, M29.1 ¦
¦ ¦ ¦инструкцией (руководством, регламентом ¦ ¦
¦ ¦ ¦и т.п.), входящей в состав ¦ ¦
¦ ¦ ¦эксплуатационной документации на ИСПДн,¦ ¦
¦ ¦ ¦и соблюдают ли работники требования ¦ ¦
¦ ¦ ¦документов организации по обеспечению ¦ ¦
¦ ¦ ¦ИБ? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 7 ¦ 6.1.6 ¦ Возложены ли приказами ¦M1.1, M1.3, ¦
¦ ¦ ¦(распоряжениями) обязанности по ¦M1.4, M8.4, ¦
¦ ¦ ¦администрированию средств защиты и ¦M8.5, M15.6, ¦
¦ ¦ ¦механизмов защиты, реализующих ¦M15.7, M15.8 ¦
¦ ¦ ¦требования по обеспечению ИБ ИСПДн ¦ ¦
¦ ¦ ¦организации, на администраторов ¦ ¦
¦ ¦ ¦информационной безопасности ИСПДн? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 8 ¦ 6.1.7 ¦ Определен ли порядок действий ¦M1.1, M1.3, ¦
¦ ¦ ¦администратора информационной ¦M1.4, M1.13, ¦
¦ ¦ ¦безопасности ИСПДн и персонала, занятых¦M1.14, ¦
¦ ¦ ¦в процессе обработки персональных ¦M2.5, M2.6, ¦
¦ ¦ ¦данных, инструкциями (руководствами), ¦M2.11, M2.12, ¦
¦ ¦ ¦которые готовятся разработчиком ИСПД в ¦M3.2, M3.11, ¦
¦ ¦ ¦составе эксплуатационной документации ¦M3.12, M3.14, ¦
¦ ¦ ¦на ИСПДн? ¦M3.15, M3.16, ¦
¦ ¦ ¦ Выполняются ли следующие требования к¦M3.17, M8.5, ¦
¦ ¦ ¦таким инструкциям (руководствам): ¦M8.12, M15.6, ¦
¦ ¦ ¦ - устанавливают требования к ¦M15.7, M15.8, ¦
¦ ¦ ¦квалификации администратора ¦M21.1, M21.7, ¦
¦ ¦ ¦информационной безопасности и персонала¦M21.8, M32.1, ¦
¦ ¦ ¦в области защиты информации, а также ¦M32.2 ¦
¦ ¦ ¦актуальный перечень защищаемых объектов¦ ¦
¦ ¦ ¦и правила его обновления; ¦ ¦
¦ ¦ ¦ - содержат в полном объеме актуальные¦ ¦
¦ ¦ ¦(по времени) данные о полномочиях ¦ ¦
¦ ¦ ¦пользователей; ¦ ¦
¦ ¦ ¦ - содержат данные о технологии ¦ ¦
¦ ¦ ¦обработки информации в объеме, ¦ ¦
¦ ¦ ¦необходимом для администратора ¦ ¦
¦ ¦ ¦информационной безопасности; ¦ ¦
¦ ¦ ¦ - устанавливают порядок и ¦ ¦
¦ ¦ ¦периодичность анализа журналов ¦ ¦
¦ ¦ ¦регистрации событий (архивов журналов)?¦ ¦
¦ ¦ ¦ Определены ли в эксплуатационной ¦ ¦
¦ ¦ ¦документации на ИСПДн параметры ¦ ¦
¦ ¦ ¦конфигурации средств защиты и ¦ ¦
¦ ¦ ¦механизмов защиты информации от НСД, ¦ ¦
¦ ¦ ¦используемых в зоне ответственности ¦ ¦
¦ ¦ ¦администратора информационной ¦ ¦
¦ ¦ ¦безопасности? ¦ ¦
¦ ¦ ¦ Установлены ли в эксплуатационной ¦ ¦
¦ ¦ ¦документации или регламентированы ли ¦ ¦
¦ ¦ ¦внутренним документом организации ¦ ¦
¦ ¦ ¦порядок и периодичность проверок ¦ ¦
¦ ¦ ¦установленных параметров конфигурации ¦ ¦
¦ ¦ ¦(при этом проверки должны проводиться ¦ ¦
¦ ¦ ¦не реже чем раз в год)? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 9 ¦ 6.1.8 ¦ Определен ли в организации и ¦M3.18, M3.19, ¦
¦ ¦ ¦зафиксирован ли документально порядок ¦M3.20, M11.9, ¦
¦ ¦ ¦доступа в помещения, в которых ¦M28.9 ¦
¦ ¦ ¦размещаются технические средства ИСПДн ¦ ¦
¦ ¦ ¦и хранятся носители персональных ¦ ¦
¦ ¦ ¦данных, предусматривающий контроль ¦ ¦
¦ ¦ ¦доступа в помещения посторонних лиц и ¦ ¦
¦ ¦ ¦наличие препятствий для ¦ ¦
¦ ¦ ¦несанкционированного проникновения в ¦ ¦
¦ ¦ ¦помещения? ¦ ¦
¦ ¦ ¦ Разработан ли указанный порядок ¦ ¦
¦ ¦ ¦структурным подразделением или ¦ ¦
¦ ¦ ¦должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение режима физической ¦ ¦
¦ ¦ ¦безопасности организации БС РФ и ¦ ¦
¦ ¦ ¦согласован ли структурным ¦ ¦
¦ ¦ ¦подразделением или должностным лицом ¦ ¦
¦ ¦ ¦(работником) организации БС РФ, ¦ ¦
¦ ¦ ¦ответственным за обеспечение ¦ ¦
¦ ¦ ¦безопасности персональных данных, и со ¦ ¦
¦ ¦ ¦службой ИБ организации? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 10 ¦ 6.1.9 ¦ Запрещено ли организационно- ¦M15.6, M15.8, ¦
¦ ¦ ¦техническими мерами в помещениях, в ¦M21.1, M21.7, ¦
¦ ¦ ¦которых размещаются технические ¦M32.1 ¦
¦ ¦ ¦средства ИСПДн, несанкционированное и ¦ ¦
¦ ¦ ¦(или) нерегистрируемое (бесконтрольное)¦ ¦
¦ ¦ ¦копирование персональных данных, в том ¦ ¦
¦ ¦ ¦числе с использованием отчуждаемых ¦ ¦
¦ ¦ ¦носителей информации, мобильных ¦ ¦
¦ ¦ ¦устройств копирования и переноса ¦ ¦
¦ ¦ ¦информации, коммуникационных портов и ¦ ¦
¦ ¦ ¦устройств ввода-вывода, реализующих ¦ ¦
¦ ¦ ¦различные интерфейсы (включая ¦ ¦
¦ ¦ ¦беспроводные), запоминающих устройств ¦ ¦
¦ ¦ ¦мобильных средств (например, ноутбуков,¦ ¦
¦ ¦ ¦карманных персональных компьютеров, ¦ ¦
¦ ¦ ¦смартфонов, мобильных телефонов), а ¦ ¦
¦ ¦ ¦также устройств фото- и видеосъемки? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 11 ¦ 6.2.1 ¦ Регламентируются ли в проектной и ¦M2.1, M8.6, ¦
¦ ¦ ¦эксплуатационной документации процессы ¦M15.6, M15.7 ¦
¦ ¦ ¦обработки персональных данных, а также ¦ ¦
¦ ¦ ¦порядок установки, настройки, ¦ ¦
¦ ¦ ¦эксплуатации и восстановления ¦ ¦
¦ ¦ ¦необходимых технических и программных ¦ ¦
¦ ¦ ¦средств? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 12 ¦ 6.2.2 ¦ Обеспечиваются ли идентификация и ¦M3.5, M3.6, ¦
¦ ¦ ¦аутентификация (проверка подлинности) ¦M3.7, M3.8, ¦
¦ ¦ ¦субъекта доступа при входе в ИСПДн по ¦M15.6, M15.8 ¦
¦ ¦ ¦идентификатору (коду) и периодически ¦ ¦
¦ ¦ ¦обновляемому паролю длиной не менее ¦ ¦
¦ ¦ ¦шести буквенно-цифровых символов? ¦ ¦
¦ ¦ ¦ Ограничено ли при наличии технической¦ ¦
¦ ¦ ¦возможности количество последовательных¦ ¦
¦ ¦ ¦неудачных попыток ввода пароля (от 3 до¦ ¦
¦ ¦ ¦5 попыток)? ¦ ¦
¦ ¦ ¦ Блокируют ли при превышении ¦ ¦
¦ ¦ ¦указанного количества средства защиты и¦ ¦
¦ ¦ ¦механизм защиты возможность дальнейшего¦ ¦
¦ ¦ ¦ввода пароля, включая правильное ¦ ¦
¦ ¦ ¦значение пароля, до вмешательства ¦ ¦
¦ ¦ ¦администратора информационной ¦ ¦
¦ ¦ ¦безопасности? ¦ ¦
¦ ¦ ¦ Регламентируются ли порядок ¦ ¦
¦ ¦ ¦формирования и смены паролей, а также ¦ ¦
¦ ¦ ¦порядок контроля исполнения этих ¦ ¦
¦ ¦ ¦процедур разработчиком ИСПДн в ¦ ¦
¦ ¦ ¦эксплуатационной документации в ¦ ¦
¦ ¦ ¦инструкциях (руководствах) ¦ ¦
¦ ¦ ¦администраторов информационной ¦ ¦
¦ ¦ ¦безопасности? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 13 ¦ 6.2.3 ¦ Осуществляется ли передача ¦M3.9, M5.1, ¦
¦ ¦ ¦персональных данных только при условии ¦M5.15, M5.23, ¦
¦ ¦ ¦обеспечения их целостности с помощью ¦M11.9, M28.9 ¦
¦ ¦ ¦защитных мер, механизмов и средств, ¦ ¦
¦ ¦ ¦применяемых по согласованию со ¦ ¦
¦ ¦ ¦структурным подразделением или ¦ ¦
¦ ¦ ¦должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 14 ¦ 6.3.2 ¦ Обеспечивается ли выполнение функций ¦M2.1, M3.4 ¦
¦ ¦ ¦обеспечения безопасности персональных ¦ ¦
¦ ¦ ¦данных в ИСПДн средствами защиты ¦ ¦
¦ ¦ ¦информации, прошедшими в установленном ¦ ¦
¦ ¦ ¦порядке процедуру оценки соответствия, ¦ ¦
¦ ¦ ¦а также комплексом встроенных ¦ ¦
¦ ¦ ¦механизмов защиты электронных ¦ ¦
¦ ¦ ¦вычислительных машин (ЭВМ), ¦ ¦
¦ ¦ ¦операционных систем (ОС), систем ¦ ¦
¦ ¦ ¦управления базами данных (СУБД), ¦ ¦
¦ ¦ ¦прикладного программного обеспечения ¦ ¦
¦ ¦ ¦(ПО)? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 15 ¦ 6.3.3 ¦ Выполнены ли разработчиком ИСПДн на ¦M3.4, M11.9, ¦
¦ ¦ ¦стадии ввода в действие настройки ¦M21.1, M28.9 ¦
¦ ¦ ¦средств и механизмов обеспечения ¦ ¦
¦ ¦ ¦безопасности, не допускающие ¦ ¦
¦ ¦ ¦несанкционированного изменения ¦ ¦
¦ ¦ ¦пользователем предоставленных ему ¦ ¦
¦ ¦ ¦полномочий? ¦ ¦
¦ ¦ ¦ Определен ли разработчиком ИСПДн ¦ ¦
¦ ¦ ¦порядок постоянного контроля ¦ ¦
¦ ¦ ¦фактического состояния настроек средств¦ ¦
¦ ¦ ¦и механизмов обеспечения безопасности ¦ ¦
¦ ¦ ¦на предмет их соответствия ¦ ¦
¦ ¦ ¦установленным правилам? ¦ ¦
¦ ¦ ¦ Согласован ли указанный порядок со ¦ ¦
¦ ¦ ¦структурным подразделением или ¦ ¦
¦ ¦ ¦должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных, и согласован ли со службой ИБ ¦ ¦
¦ ¦ ¦организации? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 16 ¦ 6.3.4 ¦ Выполняется ли в обязательном порядке¦M3.11, M3.12 ¦
¦ ¦ ¦регистрация входа в ИСПДн (выхода из ¦ ¦
¦ ¦ ¦ИСПДн) субъектов доступа? Указываются ¦ ¦
¦ ¦ ¦ли в журнале регистрации событий, ¦ ¦
¦ ¦ ¦который ведется в электронном виде ¦ ¦
¦ ¦ ¦ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦ - дата и время входа в систему ¦ ¦
¦ ¦ ¦(выхода из системы) субъекта доступа; ¦ ¦
¦ ¦ ¦ - идентификатор субъекта, ¦ ¦
¦ ¦ ¦предъявленный при запросе доступа; ¦ ¦
¦ ¦ ¦ - результат попытки входа: успешная ¦ ¦
¦ ¦ ¦или неуспешная (несанкционированная); ¦ ¦
¦ ¦ ¦ - идентификатор (адрес) устройства ¦ ¦
¦ ¦ ¦(компьютера), используемого для входа в¦ ¦
¦ ¦ ¦систему? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 17 ¦ 6.3.6 ¦ Определен ли в организации и ¦M2.16, M2.17, ¦
¦ ¦ ¦зафиксирован ли документально порядок ¦M3.1, M3.11, ¦
¦ ¦ ¦постановки на учет и снятия с учета ¦M3.12, M8.1, ¦
¦ ¦ ¦машинных носителей, предназначенных для¦M8.6, M8.7, ¦
¦ ¦ ¦размещения персональных данных? ¦M12.2, M12.3, ¦
¦ ¦ ¦ Проводится ли снятие с учета машинных¦M17.2 ¦
¦ ¦ ¦носителей, на которых были размещены ¦ ¦
¦ ¦ ¦персональные данные, по акту путем ¦ ¦
¦ ¦ ¦стирания с них информации средствами ¦ ¦
¦ ¦ ¦гарантированного стирания информации ¦ ¦
¦ ¦ ¦или по акту путем их уничтожения? ¦ ¦
¦ ¦ ¦ Регламентируется ли разработчиком ¦ ¦
¦ ¦ ¦ИСПДн в эксплуатационной документации ¦ ¦
¦ ¦ ¦на ИСПДн процедура стирания информации ¦ ¦
¦ ¦ ¦в зависимости от применяемого средства ¦ ¦
¦ ¦ ¦гарантированного стирания? ¦ ¦
¦ ¦ ¦ Осуществляется ли (при наличии ¦ ¦
¦ ¦ ¦технической возможности) очистка ¦ ¦
¦ ¦ ¦освобождаемых областей памяти на ¦ ¦
¦ ¦ ¦носителях, ранее использованных для ¦ ¦
¦ ¦ ¦хранения персональных данных? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 18 ¦ 6.3.7 ¦ Определены ли в соответствии с ¦M2.13, M2.14, ¦
¦ ¦ ¦требованиями пункта 7.9.7 СТО БР ИББС- ¦M8.9, M8.10 ¦
¦ ¦ ¦1.0 и зафиксированы ли документально ¦ ¦
¦ ¦ ¦состав и назначение ПО ИСПДн? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 19 ¦ 6.3.8 ¦ Регламентирован ли порядок внесения ¦M2.1, M2.13, ¦
¦ ¦ ¦изменений в установленное ПО ИСПДн, ¦M2.14, M15.6, ¦
¦ ¦ ¦включая контроль действий программистов¦M15.7, M15.8 ¦
¦ ¦ ¦в процессе модификации ПО? ¦ ¦
¦ ¦ ¦ Учтены ли эталонные копии ПО, ¦ ¦
¦ ¦ ¦регламентирован ли доступ к ним? ¦ ¦
¦ ¦ ¦ Готовятся ли разработчиком ИСПДн ¦ ¦
¦ ¦ ¦соответствующие регламенты в виде ¦ ¦
¦ ¦ ¦инструкций, руководств и включаются ли ¦ ¦
¦ ¦ ¦в эксплуатационную документацию на ¦ ¦
¦ ¦ ¦ИСПДн? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 20 ¦ 6.3.9 ¦ Подлежат ли резервному копированию ¦M2.13, M2.14, ¦
¦ ¦ ¦все программные средства, архивы, ¦M8.13, M20.3, ¦
¦ ¦ ¦журналы, информационные ресурсы ¦M20.5 ¦
¦ ¦ ¦(данные), используемые и создаваемые в ¦ ¦
¦ ¦ ¦процессе эксплуатации ИСПДн? ¦ ¦
¦ ¦ ¦ Предусматривают ли средства ¦ ¦
¦ ¦ ¦восстановления функций обеспечения ¦ ¦
¦ ¦ ¦безопасности персональных данных в ¦ ¦
¦ ¦ ¦ИСПДн ведение не менее двух независимых¦ ¦
¦ ¦ ¦копий программных средств? ¦ ¦
¦ ¦ ¦ Регламентирован ли порядок создания и¦ ¦
¦ ¦ ¦сопровождения резервных копий, ¦ ¦
¦ ¦ ¦включающий способ и периодичность ¦ ¦
¦ ¦ ¦копирования, процедуры создания, учета,¦ ¦
¦ ¦ ¦хранения, использования (для ¦ ¦
¦ ¦ ¦восстановления) и уничтожения резервных¦ ¦
¦ ¦ ¦копий, разработчиком ИСПДн в ¦ ¦
¦ ¦ ¦эксплуатационной документации на ИСПДн?¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 21 ¦ 6.3.10 ¦ Осуществляется ли (в случае нештатной¦M1.1, M1.3, ¦
¦ ¦ ¦ситуации) восстановление функций ¦M1.4, M2.5, ¦
¦ ¦ ¦обеспечения безопасности персональных ¦M2.6, M2.13, ¦
¦ ¦ ¦данных в ИСПДн администратором ИСПДн с ¦M8.4, M8.5, ¦
¦ ¦ ¦обязательным привлечением ¦M8.13, M20.2 ¦
¦ ¦ ¦администратора информационной ¦ ¦
¦ ¦ ¦безопасности ИСПДн (при необходимости -¦ ¦
¦ ¦ ¦с привлечением специалистов ¦ ¦
¦ ¦ ¦структурного подразделения или ¦ ¦
¦ ¦ ¦должностного лица (работника) ¦ ¦
¦ ¦ ¦организации, ответственного за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных, и службы ИБ организации)? ¦ ¦
¦ ¦ ¦ Регламентирована ли разработчиком ¦ ¦
¦ ¦ ¦ИСПДн в эксплуатационной документации ¦ ¦
¦ ¦ ¦на ИСПДн процедура восстановления? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 22 ¦ 6.3.11 ¦ Осуществляется ли подключение ИСПДн к¦M5.1, M5.15, ¦
¦ ¦ ¦ИСПДн другого класса или к сети ¦M5.23 ¦
¦ ¦ ¦Интернет с использованием средств ¦ ¦
¦ ¦ ¦межсетевого экранирования (межсетевых ¦ ¦
¦ ¦ ¦экранов), которые обеспечивают ¦ ¦
¦ ¦ ¦выполнение следующих функций: ¦ ¦
¦ ¦ ¦- фильтрацию на сетевом уровне для ¦ ¦
¦ ¦ ¦каждого сетевого пакета независимо ¦ ¦
¦ ¦ ¦(решение о фильтрации принимается на ¦ ¦
¦ ¦ ¦основе сетевых адресов отправителя и ¦ ¦
¦ ¦ ¦получателя или на основе других ¦ ¦
¦ ¦ ¦эквивалентных атрибутов); ¦ ¦
¦ ¦ ¦- идентификацию и аутентификацию ¦ ¦
¦ ¦ ¦администратора межсетевого экрана при ¦ ¦
¦ ¦ ¦его локальных запросах на доступ по ¦ ¦
¦ ¦ ¦идентификатору (коду) и паролю условно-¦ ¦
¦ ¦ ¦постоянного действия; ¦ ¦
¦ ¦ ¦- регистрацию входа (выхода) ¦ ¦
¦ ¦ ¦администратора межсетевого экрана в ¦ ¦
¦ ¦ ¦систему (из системы) либо загрузки и ¦ ¦
¦ ¦ ¦инициализации системы и ее программного¦ ¦
¦ ¦ ¦останова (регистрация выхода из системы¦ ¦
¦ ¦ ¦не проводится в моменты аппаратурного ¦ ¦
¦ ¦ ¦отключения межсетевого экрана); ¦ ¦
¦ ¦ ¦- возможность проверки (контроля) ¦ ¦
¦ ¦ ¦целостности программной и ¦ ¦
¦ ¦ ¦информационной части средства ¦ ¦
¦ ¦ ¦межсетевого экранирования (в том числе ¦ ¦
¦ ¦ ¦с применением внешних программных ¦ ¦
¦ ¦ ¦средств, не встроенных в средство ¦ ¦
¦ ¦ ¦межсетевого экранирования); ¦ ¦
¦ ¦ ¦- фильтрацию пакетов служебных ¦ ¦
¦ ¦ ¦протоколов, служащих для диагностики и ¦ ¦
¦ ¦ ¦управления работой сетевых устройств; ¦ ¦
¦ ¦ ¦- восстановление свойств межсетевого ¦ ¦
¦ ¦ ¦экрана после сбоев и отказов ¦ ¦
¦ ¦ ¦оборудования (в том числе с применением¦ ¦
¦ ¦ ¦внешних программных средств, не ¦ ¦
¦ ¦ ¦встроенных в средство межсетевого ¦ ¦
¦ ¦ ¦экранирования); ¦ ¦
¦ ¦ ¦- возможность проведения регламентного ¦ ¦
¦ ¦ ¦тестирования реализации правил ¦ ¦
¦ ¦ ¦фильтрации, процесса идентификации и ¦ ¦
¦ ¦ ¦аутентификации администратора ¦ ¦
¦ ¦ ¦межсетевого экрана, процесса ¦ ¦
¦ ¦ ¦регистрации действий администратора ¦ ¦
¦ ¦ ¦межсетевого экрана, процесс контроля за¦ ¦
¦ ¦ ¦целостностью программной и ¦ ¦
¦ ¦ ¦информационной части, процедур ¦ ¦
¦ ¦ ¦восстановления (в том числе с ¦ ¦
¦ ¦ ¦применением внешних программных ¦ ¦
¦ ¦ ¦средств, не встроенных в средство ¦ ¦
¦ ¦ ¦межсетевого экранирования)? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 23 ¦ 6.4.1 ¦ Выполняются ли для информационных ¦M2.5, M2.6, ¦
¦ ¦ ¦систем обработки биометрических ¦M3.1, M3.3, ¦
¦ ¦ ¦персональных данных требования, ¦M3.4, M3.7, ¦
¦ ¦ ¦установленные Постановлением ¦M3.8, M3.9, ¦
¦ ¦ ¦Правительства от 6 июля 2008 г. № 512 ¦M3.10, M3.11, ¦
¦ ¦ ¦"Об утверждении требований к ¦M3.12, M6.3, ¦
¦ ¦ ¦материальным носителям биометрических ¦M6.4, M8.1, ¦
¦ ¦ ¦персональных данных и технологиям ¦M8.7, M11.9, ¦
¦ ¦ ¦хранения таких данных вне ¦M12.2, M12.3, ¦
¦ ¦ ¦информационных систем персональных ¦M17.2, M28.9 ¦
¦ ¦ ¦данных"? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 24 ¦ 6.5.2 ¦ Осуществляется ли идентификация по ¦M3.4, M3.5 ¦
¦ ¦ ¦логическим именам информационных ¦ ¦
¦ ¦ ¦ресурсов (например, информационных ¦ ¦
¦ ¦ ¦массивов, баз данных, файлов, ¦ ¦
¦ ¦ ¦обрабатывающих их программ), содержащих¦ ¦
¦ ¦ ¦персональные данные? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 25 ¦ 6.5.3 ¦ Осуществляется ли обязательный ¦M3.2, M3.4, ¦
¦ ¦ ¦контроль доступа субъектов к защищаемым¦M3.5, M3.6, ¦
¦ ¦ ¦информационным ресурсам в соответствии ¦M3.7, M3.8 ¦
¦ ¦ ¦с правами доступа указанных субъектов? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 26 ¦ 6.5.4 ¦ Выполняется ли в обязательном порядке¦M3.11, M3.12 ¦
¦ ¦ ¦регистрация печати материалов, ¦ ¦
¦ ¦ ¦содержащих персональные данные? ¦ ¦
¦ ¦ ¦Указываются ли в журнале регистрации ¦ ¦
¦ ¦ ¦событий, который ведется в электронном ¦ ¦
¦ ¦ ¦виде ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦- дата и время печати; ¦ ¦
¦ ¦ ¦- спецификация устройства печати ¦ ¦
¦ ¦ ¦(логическое имя (номер) внешнего ¦ ¦
¦ ¦ ¦устройства); ¦ ¦
¦ ¦ ¦- полное наименование (вид, шифр, код) ¦ ¦
¦ ¦ ¦материала; ¦ ¦
¦ ¦ ¦- идентификатор субъекта доступа, ¦ ¦
¦ ¦ ¦запросившего печать материала; ¦ ¦
¦ ¦ ¦- объем фактически отпечатанного ¦ ¦
¦ ¦ ¦материала (количество страниц, листов, ¦ ¦
¦ ¦ ¦копий) и результат печати: успешная ¦ ¦
¦ ¦ ¦(весь объем) или неуспешная? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 27 ¦ 6.5.5 ¦ Выполняется ли обязательная ¦M3.11, M3.12 ¦
¦ ¦ ¦регистрация запуска программ и ¦ ¦
¦ ¦ ¦процессов, осуществляющих доступ к ¦ ¦
¦ ¦ ¦защищаемым информационным ресурсам? ¦ ¦
¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦
¦ ¦ ¦событий, который ведется в электронном ¦ ¦
¦ ¦ ¦виде ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦- дата и время запуска; ¦ ¦
¦ ¦ ¦- имя (идентификатор) программы ¦ ¦
¦ ¦ ¦(процесса, задания); ¦ ¦
¦ ¦ ¦- идентификатор субъекта доступа, ¦ ¦
¦ ¦ ¦запросившего программу (процесс, ¦ ¦
¦ ¦ ¦задание); ¦ ¦
¦ ¦ ¦- результат попытки запуска: успешная ¦ ¦
¦ ¦ ¦или неуспешная (несанкционированная); ¦ ¦
¦ ¦ ¦- дата и время попытки доступа к ¦ ¦
¦ ¦ ¦защищаемому информационному ресурсу; ¦ ¦
¦ ¦ ¦- имя (идентификатор) защищаемого ¦ ¦
¦ ¦ ¦информационного ресурса; ¦ ¦
¦ ¦ ¦- вид запрашиваемой операции (например,¦ ¦
¦ ¦ ¦чтение, запись, модификация, удаление);¦ ¦
¦ ¦ ¦- результат попытки доступа: успешная ¦ ¦
¦ ¦ ¦или неуспешная (несанкционированная)? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 28 ¦ 6.5.6 ¦ Выполняется ли обязательная ¦M3.11, M3.12 ¦
¦ ¦ ¦регистрация изменений полномочий ¦ ¦
¦ ¦ ¦субъектов доступа и статуса объектов ¦ ¦
¦ ¦ ¦доступа (защищаемых информационных ¦ ¦
¦ ¦ ¦ресурсов)? ¦ ¦
¦ ¦ ¦ Указываются ли в журнале регистрации ¦ ¦
¦ ¦ ¦событий, который ведется в электронном ¦ ¦
¦ ¦ ¦виде ИСПДн, следующие параметры: ¦ ¦
¦ ¦ ¦ - дата и время изменения; ¦ ¦
¦ ¦ ¦ - содержание изменения с указанием ¦ ¦
¦ ¦ ¦идентификатора субъекта доступа, чьи ¦ ¦
¦ ¦ ¦полномочия подверглись изменению, или ¦ ¦
¦ ¦ ¦логического имени защищаемого ¦ ¦
¦ ¦ ¦информационного ресурса, чей статус ¦ ¦
¦ ¦ ¦изменился; ¦ ¦
¦ ¦ ¦ - идентификатор администратора ¦ ¦
¦ ¦ ¦информационной безопасности, ¦ ¦
¦ ¦ ¦осуществившего изменение? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 29 ¦6.3.5 ¦ Не имеют ли ИСПДн субъектов доступа, ¦M1.9, M3.11, ¦
¦ ¦6.5.7 ¦обладающих полномочиями, а при ¦M3.12, M8.4, ¦
¦ ¦ ¦возможности и техническими средствами ¦M8.5, M15.6, ¦
¦ ¦ ¦по уничтожению и модификации ¦M15.8 ¦
¦ ¦ ¦информации, содержащейся в журналах ¦ ¦
¦ ¦ ¦регистрации событий, указанных в ¦ ¦
¦ ¦ ¦пунктах 6.3.4, 6.5.4 - 6.5.6 ¦ ¦
¦ ¦ ¦РС БР ИББС-2.3? ¦ ¦
¦ ¦ ¦ Регламентирована ли очистка журналов ¦ ¦
¦ ¦ ¦регистрации событий, указанных ¦ ¦
¦ ¦ ¦в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦
¦ ¦ ¦ИББС-2.3, разработчиком ИСПДн в ¦ ¦
¦ ¦ ¦эксплуатационной документации на ИСПДн?¦ ¦
¦ ¦ ¦ Проводится ли перед очисткой журналов¦ ¦
¦ ¦ ¦регистрации событий, указанных ¦ ¦
¦ ¦ ¦в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦
¦ ¦ ¦ИББС-2.3, архивирование содержащейся в ¦ ¦
¦ ¦ ¦них информации путем перемещения ¦ ¦
¦ ¦ ¦информации в соответствующий архив? ¦ ¦
¦ ¦ ¦ Регистрируются ли операции по ¦ ¦
¦ ¦ ¦архивированию журнала регистрации ¦ ¦
¦ ¦ ¦событий, указанных в пунктах 6.3.4, ¦ ¦
¦ ¦ ¦6.5.4 - 6.5.6 РС БР ИББС-2.3, с ¦ ¦
¦ ¦ ¦указанием времени и идентификатора ¦ ¦
¦ ¦ ¦работника, выполнившего операцию, в ¦ ¦
¦ ¦ ¦качестве первой записи в действующем ¦ ¦
¦ ¦ ¦журнале регистрации событий? ¦ ¦
¦ ¦ ¦ Уничтожаются ли архивы журналов ¦ ¦
¦ ¦ ¦регистрации событий, указанных в ¦ ¦
¦ ¦ ¦пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР ¦ ¦
¦ ¦ ¦ИББС-2.3, только администратором ¦ ¦
¦ ¦ ¦информационной безопасности, в зоне ¦ ¦
¦ ¦ ¦ответственности которого находятся ¦ ¦
¦ ¦ ¦данные архивы не ранее чем через три ¦ ¦
¦ ¦ ¦года с момента появления последней ¦ ¦
¦ ¦ ¦записи в данной архивной копии? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 30 ¦ 6.5.8 ¦ В случае, если комплекс средств ¦M2.1, M2.13 ¦
¦ ¦ ¦автоматизации ИСПДн представляет собой ¦ ¦
¦ ¦ ¦автономное, изолированное на физическом¦ ¦
¦ ¦ ¦уровне в соответствии с эталонной ¦ ¦
¦ ¦ ¦моделью взаимодействия открытых систем ¦ ¦
¦ ¦ ¦- моделью OSI, автоматизированное ¦ ¦
¦ ¦ ¦рабочее место (АРМ) работника или ¦ ¦
¦ ¦ ¦работников - исключены ли из ИСПДн ¦ ¦
¦ ¦ ¦программные средства, предназначенные ¦ ¦
¦ ¦ ¦для разработки и отладки ПО (либо ¦ ¦
¦ ¦ ¦содержащие средства разработки, отладки¦ ¦
¦ ¦ ¦и тестирования программно-аппаратного ¦ ¦
¦ ¦ ¦обеспечения)? ¦ ¦
¦ ¦ ¦ В случае, если стандартные ¦ ¦
¦ ¦ ¦программные средства общего назначения ¦ ¦
¦ ¦ ¦(например, MS Office) не обеспечивают ¦ ¦
¦ ¦ ¦возможности выборочного удаления из них¦ ¦
¦ ¦ ¦средств разработки и отладки ПО - ¦ ¦
¦ ¦ ¦введен ли документально запрет ¦ ¦
¦ ¦ ¦использования отдельных компонент ¦ ¦
¦ ¦ ¦(средств разработки и отладки ПО) ¦ ¦
¦ ¦ ¦стандартных программных средств общего ¦ ¦
¦ ¦ ¦назначения (например, MS Office)? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 31 ¦ 6.5.9 ¦ В случае, если комплекс средств ¦M2.7, M2.10, ¦
¦ ¦ ¦автоматизации ИСПДн включает одно или ¦M8.8, M8.12 ¦
¦ ¦ ¦несколько сетевых АРМ, сетевого ¦ ¦
¦ ¦ ¦оборудования и серверов - располагаются¦ ¦
¦ ¦ ¦ли технические и программные средства, ¦ ¦
¦ ¦ ¦предназначенные для разработки и ¦ ¦
¦ ¦ ¦отладки ПО либо содержащие средства ¦ ¦
¦ ¦ ¦разработки, отладки и тестирования ¦ ¦
¦ ¦ ¦программно-аппаратного обеспечения, в ¦ ¦
¦ ¦ ¦сегментах локальной вычислительной сети¦ ¦
¦ ¦ ¦(ЛВС), изолированных (на уровне не выше¦ ¦
¦ ¦ ¦сетевого в соответствии с эталонной ¦ ¦
¦ ¦ ¦моделью взаимодействия открытых систем ¦ ¦
¦ ¦ ¦- моделью OSI) от сегментов, ¦ ¦
¦ ¦ ¦задействованных в обработке ¦ ¦
¦ ¦ ¦персональных данных? ¦ ¦
¦ ¦ ¦ Регламентированы ли разработчиком в ¦ ¦
¦ ¦ ¦эксплуатационной документации на ИСПДн ¦ ¦
¦ ¦ ¦параметры настроек технических и ¦ ¦
¦ ¦ ¦программных средств, обеспечивающих ¦ ¦
¦ ¦ ¦указанное разделение, а также процедура¦ ¦
¦ ¦ ¦контроля этих параметров настроек? ¦ ¦
¦ ¦ ¦ В случае, если стандартные ¦ ¦
¦ ¦ ¦программные средства общего назначения ¦ ¦
¦ ¦ ¦(например, MS Office) не обеспечивают ¦ ¦
¦ ¦ ¦возможности выборочного удаления из них¦ ¦
¦ ¦ ¦средств разработки и отладки ПО - ¦ ¦
¦ ¦ ¦введен ли документально запрет ¦ ¦
¦ ¦ ¦использования отдельных компонент ¦ ¦
¦ ¦ ¦(средств разработки и отладки ПО) ¦ ¦
¦ ¦ ¦стандартных программных средств общего ¦ ¦
¦ ¦ ¦назначения (например, MS Office), ¦ ¦
¦ ¦ ¦использующихся в сегментах, ¦ ¦
¦ ¦ ¦задействованных в обработке ¦ ¦
¦ ¦ ¦персональных данных? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 32 ¦ 6.5.10 ¦ В случае осуществления передачи ¦M3.4, M6.1 ¦
¦ ¦ ¦персональных данных между ¦ ¦
¦ ¦ ¦подразделениям организации по ¦ ¦
¦ ¦ ¦телекоммуникационным каналам и линиям ¦ ¦
¦ ¦ ¦связи, не принадлежащим организации или¦ ¦
¦ ¦ ¦не пролегающим только по территории ¦ ¦
¦ ¦ ¦организации - осуществляется ли такая ¦ ¦
¦ ¦ ¦передача только при обеспечении защиты ¦ ¦
¦ ¦ ¦персональных данных с помощью ¦ ¦
¦ ¦ ¦организации виртуальных частных сетей ¦ ¦
¦ ¦ ¦(Virtual Private Network - VPN) или ¦ ¦
¦ ¦ ¦иных защитных мер, механизмов и ¦ ¦
¦ ¦ ¦средств, применение которых ¦ ¦
¦ ¦ ¦определяется структурным подразделением¦ ¦
¦ ¦ ¦или должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных, и согласовывается со службой ИБ¦ ¦
¦ ¦ ¦организации? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 33 ¦ 6.5.11 ¦ В случае осуществления передачи ¦M3.4, M6.1, ¦
¦ ¦ ¦персональных данных по ¦M11.9 ¦
¦ ¦ ¦телекоммуникационных каналам и линиям ¦ ¦
¦ ¦ ¦связи между подразделениями ¦ ¦
¦ ¦ ¦организации, с одной стороны, и ¦ ¦
¦ ¦ ¦внешними организациями, с другой ¦ ¦
¦ ¦ ¦стороны - осуществляется ли такая ¦ ¦
¦ ¦ ¦передача с использованием ¦ ¦
¦ ¦ ¦сертифицированных СКЗИ или иных ¦ ¦
¦ ¦ ¦защитных механизмов, применение которых¦ ¦
¦ ¦ ¦определяется структурным подразделением¦ ¦
¦ ¦ ¦или должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных, и согласовывается со службой ИБ¦ ¦
¦ ¦ ¦организации? ¦ ¦
¦ ¦ ¦ В случае использования СКЗИ - ¦ ¦
¦ ¦ ¦выполняются ли требования нормативных ¦ ¦
¦ ¦ ¦правовых актов ФСБ России? ¦ ¦
¦ ¦ ¦ В случае обмена информацией с другой ¦ ¦
¦ ¦ ¦организацией - определены ли ¦ ¦
¦ ¦ ¦соглашением сторон (в частности, ¦ ¦
¦ ¦ ¦условиями договора) правила ¦ ¦
¦ ¦ ¦использования СКЗИ? ¦ ¦
¦ ¦ ¦ В случае отсутствия указанной ¦ ¦
¦ ¦ ¦технической возможности - ¦ ¦
¦ ¦ ¦осуществляется ли передача персональных¦ ¦
¦ ¦ ¦данных в электронном виде на съемных ¦ ¦
¦ ¦ ¦носителях в порядке, согласованном со ¦ ¦
¦ ¦ ¦структурным подразделением или ¦ ¦
¦ ¦ ¦должностным лицом (работником) ¦ ¦
¦ ¦ ¦организации, ответственным за ¦ ¦
¦ ¦ ¦обеспечение безопасности персональных ¦ ¦
¦ ¦ ¦данных и со службой ИБ организации? ¦ ¦
+--------+---------+---------------------------------------+--------------+
¦ 34 ¦ 6.5.12 ¦ Осуществляется ли подключение ИСПДн к¦M3.4, M5.1, ¦
¦ ¦ ¦ИСПДн другого класса или к сети ¦M5.15, M5.23 ¦
¦ ¦ ¦Интернет с использованием средств ¦ ¦
¦ ¦ ¦межсетевого экранирования (межсетевых ¦ ¦
¦ ¦ ¦экранов), которые имеют подтвержденный ¦ ¦
¦ ¦ ¦сертификатом класс защиты не ниже ¦ ¦
¦ ¦ ¦четвертого при возможности ¦ ¦
¦ ¦ ¦информационного обмена между всеми ¦ ¦
¦ ¦ ¦компонентами защищаемой ИСПДн без ¦ ¦
¦ ¦ ¦использования компонентов других ¦ ¦
¦ ¦ ¦автоматизированных банковских систем ¦ ¦
¦ ¦ ¦организации (в иных случаях - не ниже ¦ ¦
¦ ¦ ¦третьего класса)? ¦ ¦
¦ ¦ ¦ Указанные классы защиты ¦ ¦
¦ ¦ ¦устанавливаются в соответствии с ¦ ¦
¦ ¦ ¦руководящим документом "Средства ¦ ¦
¦ ¦ ¦вычислительной техники. Межсетевые ¦ ¦
¦ ¦ ¦экраны. Защита от несанкционированного ¦ ¦
¦ ¦ ¦доступа к информации. Показатели ¦ ¦
¦ ¦ ¦защищенности от несанкционированного ¦ ¦
¦ ¦ ¦доступа к информации", утвержденного ¦ ¦
¦ ¦ ¦решением председателя Государственной ¦ ¦
¦ ¦ ¦технической комиссии при Президенте ¦ ¦
¦ ¦ ¦Российской Федерации от 25 июля 1997 ¦ ¦
¦ ¦ ¦года ¦ ¦
L--------+---------+---------------------------------------+---------------
--------------------------------
<*> Классы ИСПДн:
ИСПДн-С - ИСПДн обработки специальных категорий персональных данных;
ИСПДн-Б - ИСПДн обработки биометрических персональных данных;
ИСПДн-И - ИСПДн обработки персональных данных, не являющихся биометрическими и не относящихся к специальным категориям, доступ к которым должен быть ограничен;
ИСПДн-Д - ИСПДн обработки общедоступных и (или) обезличенных персональных данных.
Таблица 2. Таблица соответствия частных показателей и положений РС БР ИББС-2.3
---------------------T--------------------T-------------------------------¬
¦ СТО БР ИББС-1.2 ¦ Класс ИСПДн ¦ РС БР ИББС-2.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M1.1 ¦ИСПДн-Д ¦6.1.5, 6.1.6, 6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б, ¦6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M1.3 ¦ИСПДн-Д ¦6.1.5, 6.1.6, 6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б, ¦6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M1.4 ¦ИСПДн-Д ¦6.1.5, 6.1.6, 6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б, ¦6.1.5, 6.1.6, 6.1.7, 6.3.10 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M1.9 ¦ИСПДн-И ¦6.3.5 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.3.5 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.3.5, 6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M1.13 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M1.14 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M1.19 ¦Все классы ¦6.1.5 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.1 ¦ИСПДн-Д ¦6.1.1, 6.1.2, 6.2.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.1.1, 6.1.2, 6.2.1, 6.3.2, ¦
¦ ¦ ¦6.3.8 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.1, 6.1.2, 6.2.1, 6.3.2, ¦
¦ ¦ ¦6.3.8, 6.5.8 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.2 ¦Все классы ¦6.1.1, 6.1.2 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.3 ¦Все классы ¦6.1.1, 6.1.2 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.4 ¦Все классы ¦6.1.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.5 ¦ИСПДн-Д ¦6.1.2, 6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-С ¦6.1.2, 6.1.7, 6.3.10 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.2, 6.1.7, 6.3.10, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.6 ¦ИСПДн-Д ¦6.1.2, 6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-С ¦6.1.2, 6.1.7, 6.3.10 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.2, 6.1.7, 6.3.10, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.7 ¦ИСПДн-С ¦6.5.9 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.10 ¦ИСПДн-С ¦6.5.9 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.11 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.12 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.13 ¦ИСПДн-И, ИСПДн-Б ¦6.3.7, 6.3.8, 6.3.9, 6.3.10 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.3.7, 6.3.8, 6.3.9, 6.3.10, ¦
¦ ¦ ¦6.5.8 ¦
+--------------------+--------------------+-------------------------------+
¦ M2.14 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.7, 6.3.8, 6.3.9 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M2.16 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.6 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M2.17 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.6 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M3.1 ¦ИСПДн-И, ИСПДн-С ¦6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.3.6, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.2 ¦ИСПДн-Д, ИСПДн-И, ¦6.1.7 ¦
¦ ¦ИСПДн-Б ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.7, 6.5.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.3 ¦ИСПДН-Б ¦6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.4 ¦ИСПДн-И ¦6.3.2, 6.3.3 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.3.2, 6.3.3, 6.4.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.3.2, 6.3.3, 6.4.1, 6.5.2, ¦
¦ ¦ ¦6.5.3, 6.5.10, 6.5.11, 6.5.12 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.5 ¦ИСПДн-Д, ИСПДн-И, ¦6.1.4, 6.2.2 ¦
¦ ¦ИСПДн-Б ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.4, 6.2.2, 6.5.2, 6.5.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.6 ¦ИСПДн-Д, ИСПДн-И, ¦6.1.4, 6.2.2 ¦
¦ ¦ИСПДн-Б ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.4, 6.2.2, 6.5.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.7 ¦ИСПДн-Д, ИСПДн-И ¦6.1.4, 6.2.2 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.4, 6.2.2, 6.4.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.4, 6.2.2, 6.5.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.8 ¦ИСПДн-Д, ИСПДн-И ¦6.1.4, 6.2.2 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.4, 6.2.2, 6.4.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.4, 6.2.2, 6.5.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.9 ¦ИСПДн-Д, ИСПДн-И, ¦6.2.3 ¦
¦ ¦ИСПДн-С ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.2.3, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.10 ¦ИСПДн-Б ¦6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.11 ¦ИСПДн-Д ¦6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И ¦6.1.7, 6.3.4, 6.3.5, 6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦6.4.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦6.5.4, 6.5.5, 6.5.6, 6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.12 ¦ИСПДн-Д ¦6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И ¦6.1.7, 6.3.4, 6.3.5, 6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦6.4.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.7, 6.3.4, 6.3.5, 6.3.6, ¦
¦ ¦ ¦6.5.4, 6.5.5, 6.5.6, 6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.14 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.15 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.16 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.17 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.18 ¦Все классы ¦6.1.8 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.19 ¦Все классы ¦6.1.8 ¦
+--------------------+--------------------+-------------------------------+
¦ M3.20 ¦Все классы ¦6.1.8 ¦
+--------------------+--------------------+-------------------------------+
¦ M4.1 ¦Все классы ¦6.1.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M4.5 ¦Все классы ¦6.1.3 ¦
+--------------------+--------------------+-------------------------------+
¦ M5.1 ¦ИСПДн-Д ¦6.2.3 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.2.3, 6.3.11 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.2.3, 6.3.11, 6.5.12 ¦
+--------------------+--------------------+-------------------------------+
¦ M5.15 ¦ИСПДн-Д ¦6.2.3 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.2.3, 6.3.11 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.2.3, 6.3.11, 6.5.12 ¦
+--------------------+--------------------+-------------------------------+
¦ M5.23 ¦ИСПДн-Д ¦6.2.3 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.2.3, 6.3.11 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.2.3, 6.3.11, 6.5.12 ¦
+--------------------+--------------------+-------------------------------+
¦ M6.1 ¦ИСПДн-С ¦6.5.10, 6.5.11 ¦
+--------------------+--------------------+-------------------------------+
¦ M6.3 ¦ИСПДн-Б ¦6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M6.4 ¦ИСПДн-Б ¦6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.1 ¦ИСПДн-И, ИСПДн-С ¦6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.3.6, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.3 ¦Все классы ¦6.1.2 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.4 ¦ИСПДн-Д ¦6.1.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.1.6, 6.3.5, 6.3.10 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.6, 6.3.5, 6.3.10, 6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.5 ¦ИСПДн-Д ¦6.1.2, 6.1.6, 6.1.7 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.1.2, 6.1.6, 6.1.7, 6.3.5, ¦
¦ ¦ ¦6.3.10 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.2, 6.1.6, 6.1.7, 6.3.5, ¦
¦ ¦ ¦6.3.10, 6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.6 ¦ИСПДн-Д ¦6.2.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б, ¦6.2.1, 6.3.6 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M8.7 ¦ИСПДн-И, ИСПДн-С ¦6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.3.6, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.8 ¦ИСПДн-С ¦6.5.9 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.9 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.7 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M8.10 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.7 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M8.12 ¦ИСПДн-Д, ИСПДн-И, ¦6.1.7 ¦
¦ ¦ИСПДн-Б ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.7, 6.5.9 ¦
+--------------------+--------------------+-------------------------------+
¦ M8.13 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.9, 6.3.10 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M10.2 ¦Все классы ¦5.2 ¦
+--------------------+--------------------+-------------------------------+
¦ M10.3 ¦Все классы ¦5.2 ¦
+--------------------+--------------------+-------------------------------+
¦ M11.9 ¦ИСПДн-Д, ИСПДн-И, ¦6.1.8, 6.2.3, 6.3.3 ¦
¦ ¦ИСПДн-С ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.8, 6.2.3, 6.3.3, 6.4.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.8, 6.2.3, 6.3.3, 6.5.11 ¦
+--------------------+--------------------+-------------------------------+
¦ M12.2 ¦ИСПДн-Д ¦5.2 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-С ¦5.2, 6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦5.2, 6.3.6, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M12.3 ¦ИСПДн-Д ¦5.2 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-С ¦5.2, 6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦5.2, 6.3.6, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M12.4 ¦Все классы ¦5.2 ¦
+--------------------+--------------------+-------------------------------+
¦ M15.6 ¦ИСПДн-Д ¦6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦
¦ ¦ ¦6.2.1, 6.2.2 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦
¦ ¦ ¦6.2.1, 6.2.2, 6.3.5, 6.3.8 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.2, 6.1.6, 6.1.7, 6.1.9, ¦
¦ ¦ ¦6.2.1, 6.2.2, 6.3.5, 6.3.8 ¦
¦ ¦ ¦6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M15.7 ¦ИСПДн-Д ¦6.1.2, 6.1.6, 6.1.7, 6.2.1 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б, ¦6.1.2, 6.1.6, 6.1.7, 6.2.1, ¦
¦ ¦ИСПДн-С ¦6.3.8 ¦
+--------------------+--------------------+-------------------------------+
¦ M15.8 ¦ИСПДн-Д ¦6.1.6, 6.1.7, 6.1.9, 6.2.2 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б ¦6.1.6, 6.1.7, 6.1.9, 6.2.2, ¦
¦ ¦ ¦6.3.5, 6.3.8 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.6, 6.1.7, 6.1.9, 6.2.2, ¦
¦ ¦ ¦6.3.5, 6.3.8, 6.5.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M16.1 ¦Все классы ¦6.1.5 ¦
+--------------------+--------------------+-------------------------------+
¦ M17.2 ¦ИСПДн-И, ИСПДн-С ¦6.3.6 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.3.6, 6.4.1 ¦
+--------------------+--------------------+-------------------------------+
¦ M20.2 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.10 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M20.3 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.9 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M20.5 ¦ИСПДн-И, ИСПДн-Б, ¦6.3.9 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M21.1 ¦ИСПДн-Д ¦6.1.7, 6.1.9 ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-И, ИСПДн-Б, ¦6.1.7, 6.1.9, 6.3.3 ¦
¦ ¦ИСПДн-С ¦ ¦
+--------------------+--------------------+-------------------------------+
¦ M21.7 ¦Все классы ¦6.1.7, 6.1.9 ¦
+--------------------+--------------------+-------------------------------+
¦ M21.8 ¦Все классы ¦6.1.7 ¦
+--------------------+--------------------+-------------------------------+
¦ M28.9 ¦ИСПДн-Д, ИСПДн-И, ¦6.1.8, 6.2.3, 6.3.3 ¦
¦ ¦ИСПДн-С ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-Б ¦6.1.8, 6.2.3, 6.3.3, 6.4.1 ¦
¦ ¦ ¦ ¦
¦ +--------------------+-------------------------------+
¦ ¦ИСПДн-С ¦6.1.8, 6.2.3, 6.3.3, 6.5.11 ¦
+--------------------+--------------------+-------------------------------+
¦ M29.1 ¦Все классы ¦6.1.5 ¦
+--------------------+--------------------+-------------------------------+
¦ M32.1 ¦Все классы ¦6.1.7, 6.1.9 ¦
+--------------------+--------------------+-------------------------------+
¦ M32.2 ¦Все классы ¦6.1.7 ¦
L--------------------+--------------------+--------------------------------
Ключевые слова: банковская система Российской Федерации, информационная безопасность, методика оценки соответствия, показатели информационной безопасности, текущий уровень информационной безопасности, система менеджмента информационной безопасности, осознание информационной безопасности, требования информационной безопасности.
------------------------------------------------------------------
--------------------
| | |
|
