Групповой показатель M30 "Оценка деятельности руководства организации БС РФ по поддержке планирования СОИБ"
См. данную форму в MS-Excel.
Групповой показатель M30 "Оценка деятельности руководства
организации БС РФ по поддержке планирования СОИБ"
┌────────────┬──────────────────────────────────────┬──────────────┬──────────────────────────┬───────────┬─────────────┐
│Обозначение │ Частный показатель ИБ │Обязательность│ Оценка частного │Коэффициент│ Вычисленное │
│ частного │ │ выполнения │ показателя ИБ │значимости │ значение │
│ показателя │ │ ├───┬────┬───┬────┬───┬────┤ частного │ показателя │
│ ИБ │ │ │ 0 │0,25│0,5│0,75│ 1 │н/о │показателя │ ИБ │
│ │ │ │ │ │ │ │ │ │ ИБ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.1 │Определена ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │и корректируется ли опись │ │ │ │ │ │ │ │ │ │
│ M12.1) │структурированных по классам │ │ │ │ │ │ │ │ │ │
│ │защищаемых информационных активов │ │ │ │ │ │ │ │ │ │
│ │(типов информационных активов - типов │ │ │ │ │ │ │ │ │ │
│ │информации)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.2 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │роли по определению/коррекции области │ │ │ │ │ │ │ │ │ │
│ M12.6) │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │
│ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │
│ │активов (типов информационных │ │ │ │ │ │ │ │ │ │
│ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.3 │Назначены ли в организации │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │ответственные за выполнение ролей по │ │ │ │ │ │ │ │ │ │
│ M12.7) │определению/коррекции области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ и по составлению и │ │ │ │ │ │ │ │ │ │
│ │пересмотру описи информационных │ │ │ │ │ │ │ │ │ │
│ │активов (типов информационных │ │ │ │ │ │ │ │ │ │
│ │активов), находящихся в области │ │ │ │ │ │ │ │ │ │
│ │действия СОИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.4 │Принята ли в организации и │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │корректируется ли методика оценки │ │ │ │ │ │ │ │ │ │
│ M13.1) │рисков нарушения ИБ/подход к оценке │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.5 │Определены ли в организации критерии │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │принятия рисков нарушения ИБ и уровень│ │ │ │ │ │ │ │ │ │
│ M13.2) │допустимого риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.6 │Определяет ли порядок оценки рисков │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │нарушения ИБ необходимые процедуры │ │ │ │ │ │ │ │ │ │
│ M13.4) │оценки рисков нарушения ИБ, а также │ │ │ │ │ │ │ │ │ │
│ │последовательность их выполнения? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.7 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │роли, связанные с деятельностью по │ │ │ │ │ │ │ │ │ │
│ M13.9) │определению/коррекции методики оценки │ │ │ │ │ │ │ │ │ │
│ │рисков нарушения ИБ/подхода к оценке │ │ │ │ │ │ │ │ │ │
│ │риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.8 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │
│ M13.10) │деятельностью по определению/коррекции│ │ │ │ │ │ │ │ │ │
│ │методики оценки рисков нарушения ИБ/ │ │ │ │ │ │ │ │ │ │
│ │подхода к оценке риска нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.9 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │роли по оценке рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
│ M13.11) │ │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.10 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │выполнение ролей по оценке рисков │ │ │ │ │ │ │ │ │ │
│ M13.12) │нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.11 │Утверждены ли руководством организации│ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │планы обработки рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
│ M14.3) │ │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.12 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │роли по разработке планов обработки │ │ │ │ │ │ │ │ │ │
│ M14.5) │рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.13 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │выполнение ролей по разработке планов │ │ │ │ │ │ │ │ │ │
│ M14.6) │обработки рисков нарушения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.14 │Разработана ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│ (аналог │организации? Утверждена ли политика ИБ│ │ │ │ │ │ │ │ │ │
│ M15.2) │руководством? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.15 │Корректируется ли политика ИБ │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │организации? │ │ │ │ │ │ │ │ │ │
│ M15.3) │ │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.16 │Разработаны ли частные политики ИБ │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│ (аналог │организации? │ │ │ │ │ │ │ │ │ │
│ M15.4) │ │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.17 │Корректируются ли частные политики ИБ │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │организации? │ │ │ │ │ │ │ │ │ │
│ M15.5) │ │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.18 │Определены ли в политике ИБ (частных │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │политиках ИБ) организации: │ │ │ │ │ │ │ │ │ │
│ M15.9) │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │
│ │основные области обеспечения ИБ; │ │ │ │ │ │ │ │ │ │
│ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │
│ │- совокупность правил, требований и │ │ │ │ │ │ │ │ │ │
│ │руководящих принципов в области ИБ; │ │ │ │ │ │ │ │ │ │
│ │- основные требования к обеспечению │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы противодействия угрозам ИБ │ │ │ │ │ │ │ │ │ │
│ │по отношению к типам основных │ │ │ │ │ │ │ │ │ │
│ │защищаемых информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- основные принципы повышения уровня │ │ │ │ │ │ │ │ │ │
│ │осознания и осведомленности в области │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │
│ │выполнения требований политики ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.19 │Корректируются ли в политике ИБ │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │(частных политиках ИБ) организации: │ │ │ │ │ │ │ │ │ │
│ M15.10) │- цели и задачи обеспечения ИБ; │ │ │ │ │ │ │ │ │ │
│ │основные области обеспечения ИБ; │ │ │ │ │ │ │ │ │ │
│ │- типы основных защищаемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- модели угроз и нарушителей; │ │ │ │ │ │ │ │ │ │
│ │- совокупность правил, требований и │ │ │ │ │ │ │ │ │ │
│ │руководящих принципов в области ИБ; │ │ │ │ │ │ │ │ │ │
│ │- основные требования к обеспечению │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы противодействия угрозам ИБ │ │ │ │ │ │ │ │ │ │
│ │по отношению к типам основных │ │ │ │ │ │ │ │ │ │
│ │защищаемых информационных активов; │ │ │ │ │ │ │ │ │ │
│ │- основные принципы повышения уровня │ │ │ │ │ │ │ │ │ │
│ │осознания и осведомленности в области │ │ │ │ │ │ │ │ │ │
│ │ИБ; │ │ │ │ │ │ │ │ │ │
│ │- принципы реализации и контроля │ │ │ │ │ │ │ │ │ │
│ │выполнения требований политики ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.20 │Разрабатываются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0408 │ │
│ (аналог │документы, регламентирующие │ │ │ │ │ │ │ │ │ │
│ M15.11) │деятельность в области обеспечения ИБ │ │ │ │ │ │ │ │ │ │
│ │на основе: │ │ │ │ │ │ │ │ │ │
│ │- законодательства Российской │ │ │ │ │ │ │ │ │ │
│ │Федерации; │ │ │ │ │ │ │ │ │ │
│ │- комплекса БР ИББС, в частности, │ │ │ │ │ │ │ │ │ │
│ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │
│ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │
│ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │
│ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │
│ │- договорных требований организации со│ │ │ │ │ │ │ │ │ │
│ │сторонними организациями; │ │ │ │ │ │ │ │ │ │
│ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │
│ │выполненной с соответствующей уровню │ │ │ │ │ │ │ │ │ │
│ │разрабатываемого документа │ │ │ │ │ │ │ │ │ │
│ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов │ │ │ │ │ │ │ │ │ │
│ │(типов информационных активов)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.21 │Корректируются ли внутренние │ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │документы, регламентирующие │ │ │ │ │ │ │ │ │ │
│ M15.12) │деятельность в области обеспечения ИБ │ │ │ │ │ │ │ │ │ │
│ │на основе: │ │ │ │ │ │ │ │ │ │
│ │- законодательства Российской │ │ │ │ │ │ │ │ │ │
│ │Федерации; │ │ │ │ │ │ │ │ │ │
│ │- комплекса БР ИББС, в частности, │ │ │ │ │ │ │ │ │ │
│ │требования 7-го и 8-го разделов │ │ │ │ │ │ │ │ │ │
│ │стандарта СТО БР ИББС-1.0; │ │ │ │ │ │ │ │ │ │
│ │- нормативных актов и предписаний │ │ │ │ │ │ │ │ │ │
│ │регулирующих и надзорных органов; │ │ │ │ │ │ │ │ │ │
│ │- договорных требований организации со│ │ │ │ │ │ │ │ │ │
│ │сторонними организациями; │ │ │ │ │ │ │ │ │ │
│ │- результатов оценки рисков, │ │ │ │ │ │ │ │ │ │
│ │выполненной с соответствующей уровню │ │ │ │ │ │ │ │ │ │
│ │разрабатываемого документа │ │ │ │ │ │ │ │ │ │
│ │детализацией рассматриваемых │ │ │ │ │ │ │ │ │ │
│ │информационных активов │ │ │ │ │ │ │ │ │ │
│ │(типов информационных активов)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.22 │Утвержден ли руководством организации │ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │порядок взаимодействия │ │ │ │ │ │ │ │ │ │
│ M15.16) │(координирования работы) службы ИБ с │ │ │ │ │ │ │ │ │ │
│ │работниками, ответственными за │ │ │ │ │ │ │ │ │ │
│ │обеспечение ИБ в структурных │ │ │ │ │ │ │ │ │ │
│ │подразделениях организации (в случае │ │ │ │ │ │ │ │ │ │
│ │наличия в структурных подразделениях │ │ │ │ │ │ │ │ │ │
│ │организации работников, ответственных │ │ │ │ │ │ │ │ │ │
│ │за обеспечение ИБ)? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.23 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0345 │ │
│ (аналог │процедуры выделения и распределения │ │ │ │ │ │ │ │ │ │
│ M15.18) │ролей в области обеспечения ИБ? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.24 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0386 │ │
│ (аналог │роли по разработке, поддержке, │ │ │ │ │ │ │ │ │ │
│ M15.20) │пересмотру и контролю исполнения │ │ │ │ │ │ │ │ │ │
│ │внутренних документов, │ │ │ │ │ │ │ │ │ │
│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.25 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │выполнение ролей по разработке, │ │ │ │ │ │ │ │ │ │
│ M15.21) │поддержке, пересмотру и контролю │ │ │ │ │ │ │ │ │ │
│ │исполнения внутренних документов, │ │ │ │ │ │ │ │ │ │
│ │регламентирующих деятельность по │ │ │ │ │ │ │ │ │ │
│ │обеспечению ИБ организации? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.26 │Определены ли в документах организации│ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │роли, связанные с реализацией планов │ │ │ │ │ │ │ │ │ │
│ M17.3) │обработки рисков нарушения ИБ и с │ │ │ │ │ │ │ │ │ │
│ │реализацией требуемых защитных мер? │ │ │ │ │ │ │ │ │ │
├────────────┼──────────────────────────────────────┼──────────────┼───┼────┼───┼────┼───┼────┼───────────┼─────────────┤
│ M30.27 │Назначены ли ответственные за │ обязательный │ │ │ │ │ │ │ 0,0364 │ │
│ (аналог │выполнение ролей, связанных с │ │ │ │ │ │ │ │ │ │
│ M17.4) │реализацией планов обработки рисков │ │ │ │ │ │ │ │ │ │
│ │нарушения ИБ и с реализацией требуемых│ │ │ │ │ │ │ │ │ │
│ │защитных мер? │ │ │ │ │ │ │ │ │ │
├────────────┴──────────────────────────────────────┴──────────────┴───┴────┴───┴────┴───┴────┴───────────┼─────────────┤
│Итоговая оценка группового показателя M30 │ │
└─────────────────────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей