Групповой показатель M27 "Принятие решений по стратегическим улучшениям СОИБ"
См. данную форму в MS-Excel.
Групповой показатель M27 "Принятие решений
по стратегическим улучшениям СОИБ"
┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │
│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.1 │Рассматриваются ли при принятии │ обязательный │ │ │ │ │ │ │ 0,1130 │ │
│ │решений, связанных со стратегическими │ │ │ │ │ │ │ │ │ │
│ │улучшениями СОИБ, документально │ │ │ │ │ │ │ │ │ │
│ │оформленные результаты: │ │ │ │ │ │ │ │ │ │
│ │- аудитов ИБ; │ │ │ │ │ │ │ │ │ │
│ │- самооценок ИБ; │ │ │ │ │ │ │ │ │ │
│ │- мониторинга СОИБ и контроля защитных│ │ │ │ │ │ │ │ │ │
│ │мер; │ │ │ │ │ │ │ │ │ │
│ │- анализа функционирования СОИБ; │ │ │ │ │ │ │ │ │ │
│ │- обработки инцидентов ИБ; │ │ │ │ │ │ │ │ │ │
│ │- выявления новых информационных │ │ │ │ │ │ │ │ │ │
│ │активов организации или их типов; │ │ │ │ │ │ │ │ │ │
│ │- выявления новых угроз и уязвимостей │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- оценки рисков; │ │ │ │ │ │ │ │ │ │
│ │- пересмотра основных рисков ИБ; │ │ │ │ │ │ │ │ │ │
│ │- анализа СОИБ со стороны руководства;│ │ │ │ │ │ │ │ │ │
│ │- анализа успешных практик в области │ │ │ │ │ │ │ │ │ │
│ │ИБ (собственных или других │ │ │ │ │ │ │ │ │ │
│ │организаций)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.2 │Рассматриваются ли при принятии │ обязательный │ │ │ │ │ │ │ 0,1058 │ │
│ │решений, связанных со стратегическими │ │ │ │ │ │ │ │ │ │
│ │улучшениями СОИБ, изменения интересов,│ │ │ │ │ │ │ │ │ │
│ │целей и задач бизнеса организации, │ │ │ │ │ │ │ │ │ │
│ │контрактных обязательств организации, │ │ │ │ │ │ │ │ │ │
│ │а также изменения в законодательстве │ │ │ │ │ │ │ │ │ │
│ │РФ и нормативных актах Банка России? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.3 │Оформляются ли документально решения │ обязательный │ │ │ │ │ │ │ 0,0984 │ │
│ │по стратегическим улучшениям СОИБ, │ │ │ │ │ │ │ │ │ │
│ │содержащие либо выводы об отсутствии │ │ │ │ │ │ │ │ │ │
│ │необходимости стратегических улучшений│ │ │ │ │ │ │ │ │ │
│ │СОИБ, либо направления стратегических │ │ │ │ │ │ │ │ │ │
│ │улучшений СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.4 │Формируются ли направления │ обязательный │ │ │ │ │ │ │ 0,0984 │ │
│ │стратегических улучшений СОИБ в виде │ │ │ │ │ │ │ │ │ │
│ │корректирующих или превентивных │ │ │ │ │ │ │ │ │ │
│ │действий, например: │ │ │ │ │ │ │ │ │ │
│ │- уточнение/пересмотр целей и задач │ │ │ │ │ │ │ │ │ │
│ │обеспечения ИБ, определенных в рамках │ │ │ │ │ │ │ │ │ │
│ │политики ИБ (частных политик ИБ) │ │ │ │ │ │ │ │ │ │
│ │организации; │ │ │ │ │ │ │ │ │ │
│ │- изменения в области действия СОИБ; │ │ │ │ │ │ │ │ │ │
│ │- уточнение описи типов информационных│ │ │ │ │ │ │ │ │ │
│ │активов; │ │ │ │ │ │ │ │ │ │
│ │- пересмотр моделей угроз и │ │ │ │ │ │ │ │ │ │
│ │нарушителей; │ │ │ │ │ │ │ │ │ │
│ │- изменение подходов к оценке рисков │ │ │ │ │ │ │ │ │ │
│ │ИБ, критериев принятия риска ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.5 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,1016 │ │
│ │планы реализации стратегических │ │ │ │ │ │ │ │ │ │
│ │улучшений СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.6 │Существуют ли в организации документы,│ обязательный │ │ │ │ │ │ │ 0,0962 │ │
│ │в которых фиксируются результаты │ │ │ │ │ │ │ │ │ │
│ │выполнения планов реализации │ │ │ │ │ │ │ │ │ │
│ │стратегических улучшений СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.7 │Санкционирует и контролирует ли │ обязательный │ │ │ │ │ │ │ 0,1108 │ │
│ │руководство организации деятельность, │ │ │ │ │ │ │ │ │ │
│ │связанную с реализацией стратегических│ │ │ │ │ │ │ │ │ │
│ │улучшений СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.8 │В случае стратегических улучшений СОИБ│ обязательный │ │ │ │ │ │ │ 0,1058 │ │
│ │выполняется ли деятельность по │ │ │ │ │ │ │ │ │ │
│ │реализации соответствующих тактических│ │ │ │ │ │ │ │ │ │
│ │улучшений СОИБ для всех необходимых │ │ │ │ │ │ │ │ │ │
│ │процедур обеспечения ИБ, используемых │ │ │ │ │ │ │ │ │ │
│ │защитных мер и соответствующих │ │ │ │ │ │ │ │ │ │
│ │внутренних документов, в частности, │ │ │ │ │ │ │ │ │ │
│ │выполняются ли: │ │ │ │ │ │ │ │ │ │
│ │- выработка планов тактических │ │ │ │ │ │ │ │ │ │
│ │улучшений СОИБ; │ │ │ │ │ │ │ │ │ │
│ │- уточнение планов обработки рисков; │ │ │ │ │ │ │ │ │ │
│ │- уточнение программы внедрения │ │ │ │ │ │ │ │ │ │
│ │защитных мер; │ │ │ │ │ │ │ │ │ │
│ │- уточнение процедур использования │ │ │ │ │ │ │ │ │ │
│ │защитных мер? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.9 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0822 │ │
│ │и выполняются ли процедуры │ │ │ │ │ │ │ │ │ │
│ │согласования и информирования │ │ │ │ │ │ │ │ │ │
│ │заинтересованных сторон о │ │ │ │ │ │ │ │ │ │
│ │стратегических улучшениях СОИБ, в │ │ │ │ │ │ │ │ │ │
│ │частности, об изменениях, относящихся │ │ │ │ │ │ │ │ │ │
│ │к обеспечению ИБ, к ответственности в │ │ │ │ │ │ │ │ │ │
│ │области ИБ, к требованиям ИБ? │ │ │ │ │ │ │ │ │ │
│ │Фиксируются ли документально │ │ │ │ │ │ │ │ │ │
│ │результаты выполнения указанных │ │ │ │ │ │ │ │ │ │
│ │процедур? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤
│ M27.10 │Назначаются ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0878 │ │
│ │реализацию решений по стратегическим │ │ │ │ │ │ │ │ │ │
│ │улучшениям СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤
│Итоговая оценка группового показателя M27 │ │
└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей