Групповой показатель M13 "Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ"
См. данную форму в MS-Excel.
Групповой показатель M13 "Выбор/коррекция
подхода к оценке рисков нарушения ИБ и проведению оценки
рисков нарушения ИБ"
┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │
│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.1 │Принята ли в организации и │ обязательный │ │ │ │ │ │ │ 0,1154 │ │
│ │корректируется ли методика оценки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ/подход к оценке │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.2 │Определены ли в организации критерии │ обязательный │ │ │ │ │ │ │ 0,1070 │ │
│ │принятия рисков нарушения ИБ и уровень│ │ │ │ │ │ │ │ │ │
│ │допустимого риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.3 │Определяет ли методика оценки рисков │ обязательный │ │ │ │ │ │ │ 0,0854 │ │
│ │нарушения ИБ/подход к оценке рисков │ │ │ │ │ │ │ │ │ │
│ │нарушения ИБ организации способ и │ │ │ │ │ │ │ │ │ │
│ │порядок качественного или │ │ │ │ │ │ │ │ │ │
│ │количественного оценивания риска │ │ │ │ │ │ │ │ │ │
│ │нарушения ИБ на основании оценивания: │ │ │ │ │ │ │ │ │ │
│ │- степени возможности реализации угроз│ │ │ │ │ │ │ │ │ │
│ │ИБ выявленными и (или) предполагаемыми│ │ │ │ │ │ │ │ │ │
│ │источниками угроз ИБ, зафиксированных │ │ │ │ │ │ │ │ │ │
│ │в моделях угроз и нарушителя, в │ │ │ │ │ │ │ │ │ │
│ │результате их воздействия на объекты │ │ │ │ │ │ │ │ │ │
│ │среды информационных активов │ │ │ │ │ │ │ │ │ │
│ │организации (типов информационных │ │ │ │ │ │ │ │ │ │
│ │активов); │ │ │ │ │ │ │ │ │ │
│ │- степени тяжести последствий от │ │ │ │ │ │ │ │ │ │
│ │потери свойств ИБ, в частности, │ │ │ │ │ │ │ │ │ │
│ │свойств доступности, целостности и │ │ │ │ │ │ │ │ │ │
│ │конфиденциальности для рассматриваемых│ │ │ │ │ │ │ │ │ │
│ │информационных активов (типов │ │ │ │ │ │ │ │ │ │
│ │информационных активов)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.4 │Определяет ли порядок оценки рисков │ обязательный │ │ │ │ │ │ │ 0,0854 │ │
│ │нарушения ИБ необходимые процедуры │ │ │ │ │ │ │ │ │ │
│ │оценки рисков нарушения ИБ, а также │ │ │ │ │ │ │ │ │ │
│ │последовательность их выполнения? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.5 │Проводится ли оценка рисков нарушения │ обязательный │ │ │ │ │ │ │ 0,0676 │ │
│ │ИБ для свойств ИБ всех информационных │ │ │ │ │ │ │ │ │ │
│ │активов (типов информационных активов)│ │ │ │ │ │ │ │ │ │
│ │области действия СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.6 │Создан ли и поддерживается ли в │ рекомендуемый │//│////│////│////│ │ │ 0,0688 │ │
│ │актуальном состоянии единый │ │//│////│////│////│ │ │ │ │
│ │информационный ресурс (база данных), │ │//│////│////│////│ │ │ │ │
│ │содержащий информацию об инцидентах │ │//│////│////│////│ │ │ │ │
│ │ИБ? │ │//│////│////│////│ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.7 │Соотносятся ли величины рисков, │ обязательный │ │ │ │ │ │ │ 0,0766 │ │
│ │полученные в результате оценивания │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ, с уровнем │ │ │ │ │ │ │ │ │ │
│ │допустимого риска, принятого в │ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.8 │Определен ли в документах организации │ обязательный │ │ │ │ │ │ │ 0,0766 │ │
│ │перечень недопустимых рисков нарушения│ │ │ │ │ │ │ │ │ │
│ │ИБ, сформированный на основе сравнения│ │ │ │ │ │ │ │ │ │
│ │полученных в результате оценивания │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ величин рисков с │ │ │ │ │ │ │ │ │ │
│ │уровнем допустимого риска, принятого в│ │ │ │ │ │ │ │ │ │
│ │организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.9 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0782 │ │
│ │роли, связанные с деятельностью по │ │ │ │ │ │ │ │ │ │
│ │определению/коррекции методики оценки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ/подхода к оценке │ │ │ │ │ │ │ │ │ │
│ │риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0782 │ │
│ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │
│ │деятельностью по определению/коррекции│ │ │ │ │ │ │ │ │ │
│ │методики оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │
│ │подхода к оценке риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.11 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0782 │ │
│ │роли по оценке рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M13.12 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0826 │ │
│ │выполнение ролей по оценке рисков │ │ │ │ │ │ │ │ │ │
│ │нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤
│Итоговая оценка группового показателя M13 │ │
└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей