Групповой показатель M25 "Анализ СОИБ со стороны руководства организации БС РФ"

┌────────────┬──────────────────────────────────────┬───────────────┬──────────────────────────┬───────────┬─────────────┐

│Обозначение │ Частный показатель ИБ │Обязательность │ Оценка частного │Коэффициент│ Вычисленное │

│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │

│ показателя │ │ ├──┬────┬────┬────┬───┬────┤ частного │ показателя │

│ ИБ │ │ │0 │0,25│0,5 │0,75│ 1 │н/о │показателя │ ИБ │

│ │ │ │ │ │ │ │ │ │ ИБ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.1 │Утвержден ли в организации перечень │ обязательный │ │ │ │ │ │ │ 0,1376 │ │

│ │документов (данных), необходимых для │ │ │ │ │ │ │ │ │ │

│ │формирования информации, │ │ │ │ │ │ │ │ │ │

│ │предоставляемой руководству с целью │ │ │ │ │ │ │ │ │ │

│ │проведения анализа СОИБ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.2 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1464 │ │

│ │необходимых для формирования │ │ │ │ │ │ │ │ │ │

│ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │

│ │руководству с целью проведения анализа│ │ │ │ │ │ │ │ │ │

│ │СОИБ, отчеты с результатами: │ │ │ │ │ │ │ │ │ │

│ │- мониторинга СОИБ и контроля защитных│ │ │ │ │ │ │ │ │ │

│ │мер; │ │ │ │ │ │ │ │ │ │

│ │- анализа функционирования СОИБ; │ │ │ │ │ │ │ │ │ │

│ │- аудитов ИБ; │ │ │ │ │ │ │ │ │ │

│ │- самооценок ИБ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.3 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1318 │ │

│ │необходимых для формирования │ │ │ │ │ │ │ │ │ │

│ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │

│ │руководству с целью проведения анализа│ │ │ │ │ │ │ │ │ │

│ │СОИБ, документы, содержащие │ │ │ │ │ │ │ │ │ │

│ │информацию: │ │ │ │ │ │ │ │ │ │

│ │- о способах и методах защиты, │ │ │ │ │ │ │ │ │ │

│ │защитных мерах или процедурах их │ │ │ │ │ │ │ │ │ │

│ │использования, которые могли бы │ │ │ │ │ │ │ │ │ │

│ │использоваться для улучшения │ │ │ │ │ │ │ │ │ │

│ │функционирования СОИБ; │ │ │ │ │ │ │ │ │ │

│ │- о новых выявленных уязвимостях и │ │ │ │ │ │ │ │ │ │

│ │угрозах ИБ; │ │ │ │ │ │ │ │ │ │

│ │- о действиях, предпринятых по итогам │ │ │ │ │ │ │ │ │ │

│ │предыдущих анализов СОИБ, │ │ │ │ │ │ │ │ │ │

│ │осуществленных руководством; │ │ │ │ │ │ │ │ │ │

│ │- об изменениях, которые могли бы │ │ │ │ │ │ │ │ │ │

│ │повлиять на организацию СОИБ, │ │ │ │ │ │ │ │ │ │

│ │например, изменения в законодательстве│ │ │ │ │ │ │ │ │ │

│ │Российской Федерации и (или) в │ │ │ │ │ │ │ │ │ │

│ │положениях стандартов Банка России; │ │ │ │ │ │ │ │ │ │

│ │- о выявленных инцидентах ИБ? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.4 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1154 │ │

│ │необходимых для формирования │ │ │ │ │ │ │ │ │ │

│ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │

│ │руководству с целью проведения анализа│ │ │ │ │ │ │ │ │ │

│ │СОИБ, документы, подтверждающие │ │ │ │ │ │ │ │ │ │

│ │выполнение требуемой деятельности по │ │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ, например, выполнение │ │ │ │ │ │ │ │ │ │

│ │планов обработки рисков? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.5 │Входят ли в перечень документов, │ обязательный │ │ │ │ │ │ │ 0,1228 │ │

│ │необходимых для формирования │ │ │ │ │ │ │ │ │ │

│ │информации, предоставляемой │ │ │ │ │ │ │ │ │ │

│ │руководству с целью проведения анализа│ │ │ │ │ │ │ │ │ │

│ │СОИБ, документы, подтверждающие │ │ │ │ │ │ │ │ │ │

│ │выполнение требований непрерывности │ │ │ │ │ │ │ │ │ │

│ │бизнеса и его восстановления после │ │ │ │ │ │ │ │ │ │

│ │прерывания? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.6 │Определен ли в организации и утвержден│ обязательный │ │ │ │ │ │ │ 0,1104 │ │

│ │ли руководством план выполнения │ │ │ │ │ │ │ │ │ │

│ │деятельности по контролю и анализу │ │ │ │ │ │ │ │ │ │

│ │СОИБ, содержащий, в частности, │ │ │ │ │ │ │ │ │ │

│ │положения по проведению совещаний на │ │ │ │ │ │ │ │ │ │

│ │уровне руководства, на которых в том │ │ │ │ │ │ │ │ │ │

│ │числе производятся поиск и анализ │ │ │ │ │ │ │ │ │ │

│ │проблем ИБ, влияющих на бизнес │ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.7 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,1178 │ │

│ │роли, связанные с подготовкой │ │ │ │ │ │ │ │ │ │

│ │информации, необходимой для анализа │ │ │ │ │ │ │ │ │ │

│ │СОИБ руководством? │ │ │ │ │ │ │ │ │ │

├────────────┼──────────────────────────────────────┼───────────────┼──┼────┼────┼────┼───┼────┼───────────┼─────────────┤

│ M25.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,1178 │ │

│ │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │

│ │подготовкой информации, необходимой │ │ │ │ │ │ │ │ │ │

│ │для анализа СОИБ руководством? │ │ │ │ │ │ │ │ │ │

├────────────┴──────────────────────────────────────┴───────────────┴──┴────┴────┴────┴───┴────┴───────────┼─────────────┤

│Итоговая оценка группового показателя M25 │ │

└──────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘