Групповой показатель M29 "Определенность целей, адекватность выбора защитных мер, их эффективность и контролируемость"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.1 │Зафиксированы ли документально│ │ │ │ │ │ │ 0,0833 │ │

│ │цели и задачи обеспечения ИБ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.2 │Осуществляется ли при │ │ │ │ │ │ │ 0,0833 │ │

│ │необходимости или периодически│ │ │ │ │ │ │ │ │

│ │уточнение/пересмотр целей и │ │ │ │ │ │ │ │ │

│ │задач обеспечения ИБ │ │ │ │ │ │ │ │ │

│ │организации при изменениях │ │ │ │ │ │ │ │ │

│ │целей и задач бизнеса │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.3 │Осуществляется ли при │ │ │ │ │ │ │ 0,0833 │ │

│ │необходимости или периодически│ │ │ │ │ │ │ │ │

│ │уточнение/пересмотр целей и │ │ │ │ │ │ │ │ │

│ │задач обеспечения ИБ │ │ │ │ │ │ │ │ │

│ │организации при изменениях │ │ │ │ │ │ │ │ │

│ │процедур, технологий? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.4 │Осуществляется ли при │ │ │ │ │ │ │ 0,0833 │ │

│ │необходимости или периодически│ │ │ │ │ │ │ │ │

│ │уточнение/пересмотр целей и │ │ │ │ │ │ │ │ │

│ │задач обеспечения ИБ │ │ │ │ │ │ │ │ │

│ │организации при изменении │ │ │ │ │ │ │ │ │

│ │угроз ИБ │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.5 │Выбираются ли защитные меры в │ │ │ │ │ │ │ 0,0833 │ │

│ │соответствии с моделями угроз │ │ │ │ │ │ │ │ │

│ │и нарушителей? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.6 │Выбираются ли защитные меры с │ │ │ │ │ │ │ 0,0833 │ │

│ │учетом оценки затрат на │ │ │ │ │ │ │ │ │

│ │реализацию защитных мер и │ │ │ │ │ │ │ │ │

│ │объема возможных потерь от │ │ │ │ │ │ │ │ │

│ │выполнения угроз? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.7 │Существует ли утвержденный │ │ │ │ │ │ │ 0,0667 │ │

│ │план реализации защитных мер, │ │ │ │ │ │ │ │ │

│ │включающий порядок │ │ │ │ │ │ │ │ │

│ │тестирования реализованных │ │ │ │ │ │ │ │ │

│ │защитных мер и порядок │ │ │ │ │ │ │ │ │

│ │оценивания достигнутого уровня│ │ │ │ │ │ │ │ │

│ │снижения рисков ИБ │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.8 │Оценивалось ли руководством │ │ │ │ │ │ │ 0,0667 │ │

│ │или службой ИБ организации │ │ │ │ │ │ │ │ │

│ │влияние защитных мер на цели │ │ │ │ │ │ │ │ │

│ │бизнеса организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.9 │Все ли защитные меры, │ │ │ │ │ │ │ 0,0667 │ │

│ │используемые в организации, │ │ │ │ │ │ │ │ │

│ │позволяют осуществлять │ │ │ │ │ │ │ │ │

│ │контроль правильности их │ │ │ │ │ │ │ │ │

│ │реализации и эксплуатации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.10 │Определен ли в организации │ │ │ │ │ │ │ 0,0667 │ │

│ │порядок периодического │ │ │ │ │ │ │ │ │

│ │тестирования комплекса │ │ │ │ │ │ │ │ │

│ │защитных мер? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.11 │Применяются ли в организации │ │ │ │ │ │ │ 0,0667 │ │

│ │механизмы, позволяющие │ │ │ │ │ │ │ │ │

│ │определять ущерб от инцидентов│ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.12 │Установлена ли в организации │ │ │ │ │ │ │ 0,0833 │ │

│ │ответственность по контролю │ │ │ │ │ │ │ │ │

│ │защитных мер и оценке │ │ │ │ │ │ │ │ │

│ │адекватности и эффективности │ │ │ │ │ │ │ │ │

│ │их реализации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M29.13 │Осуществляется ли в │ │ │ │ │ │ │ 0,0834 │ │

│ │организации контроль за │ │ │ │ │ │ │ │ │

│ │реализацией действующих │ │ │ │ │ │ │ │ │

│ │положений и требований по │ │ │ │ │ │ │ │ │

│ │обеспечению ИБ? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M29 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘