Групповой показатель M14 "Разработка планов обработки рисков нарушения ИБ"

┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐

│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │

│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │

│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │

│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M14.1 │Определен ли в документах организации │ обязательный │ │ │ │ │ │ │ 0,1814 │ │

│ │по каждому из недопустимых рисков │ │ │ │ │ │ │ │ │ │

│ │нарушения ИБ план, определяющий один │ │ │ │ │ │ │ │ │ │

│ │из возможных способов обработки риска:│ │ │ │ │ │ │ │ │ │

│ │- перенос риска на сторонние │ │ │ │ │ │ │ │ │ │

│ │организации (например, путем │ │ │ │ │ │ │ │ │ │

│ │страхования указанного риска); │ │ │ │ │ │ │ │ │ │

│ │- уход от риска (например, путем │ │ │ │ │ │ │ │ │ │

│ │отказа от деятельности, выполнение │ │ │ │ │ │ │ │ │ │

│ │которой приводит к появлению риска); │ │ │ │ │ │ │ │ │ │

│ │- осознанное принятие риска; │ │ │ │ │ │ │ │ │ │

│ │- формирование требований ИБ, │ │ │ │ │ │ │ │ │ │

│ │снижающих риск до допустимого уровня, │ │ │ │ │ │ │ │ │ │

│ │и формирование планов по их │ │ │ │ │ │ │ │ │ │

│ │реализации? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M14.2 │Согласованы ли планы обработки рисков │ обязательный │ │ │ │ │ │ │ 0,1814 │ │

│ │нарушения ИБ с руководителем службы ИБ│ │ │ │ │ │ │ │ │ │

│ │либо лицом, отвечающим в организации │ │ │ │ │ │ │ │ │ │

│ │за обеспечение ИБ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M14.3 │Утверждены ли руководством организации│ обязательный │ │ │ │ │ │ │ 0,1814 │ │

│ │планы обработки рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M14.4 │Содержат ли планы реализации │ обязательный │ │ │ │ │ │ │ 0,1702 │ │

│ │требований ИБ последовательность и │ │ │ │ │ │ │ │ │ │

│ │сроки реализации и внедрения │ │ │ │ │ │ │ │ │ │

│ │организационных, технических и иных │ │ │ │ │ │ │ │ │ │

│ │защитных мер? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M14.5 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,1428 │ │

│ │роли по разработке планов обработки │ │ │ │ │ │ │ │ │ │

│ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M14.6 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1428 │ │

│ │выполнение ролей по разработке планов │ │ │ │ │ │ │ │ │ │

│ │обработки рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │

├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤

│Итоговая оценка группового показателя M14 │ │

└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘