Групповой показатель M1 "Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.1 │Определены ли роли персонала │ │ │ │ │ │ │ 0,09 │ │

│ │организации БС РФ (далее - │ │ │ │ │ │ │ │ │

│ │организации)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.2 │Персонифицированы ли роли в │ │ │ │ │ │ │ 0,09 │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.3 │Установлена ли ответственность│ │ │ │ │ │ │ 0,09 │ │

│ │за исполнение ролей, │ │ │ │ │ │ │ │ │

│ │зафиксированная в должностных │ │ │ │ │ │ │ │ │

│ │инструкциях персонала? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.4 │Отсутствуют ли в организации │ │ │ │ │ │ │ 0,09 │ │

│ │роли, концентрирующие в себе │ │ │ │ │ │ │ │ │

│ │все или большинство наиболее │ │ │ │ │ │ │ │ │

│ │важных функций, необходимых │ │ │ │ │ │ │ │ │

│ │для реализации одной из целей │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.5 │Отсутствует ли совмещение в │ │ │ │ │ │ │ 0,09 │ │

│ │одном лице ролей исполнителя и│ │ │ │ │ │ │ │ │

│ │администратора, администратора│ │ │ │ │ │ │ │ │

│ │и контролера, исполнителя и │ │ │ │ │ │ │ │ │

│ │контролера и подобное? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.6 │Все ли роли в организации │ │ │ │ │ │ │ 0,09 │ │

│ │обеспечены ресурсами, │ │ │ │ │ │ │ │ │

│ │необходимыми и достаточными │ │ │ │ │ │ │ │ │

│ │для их выполнения? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.7 │Возложена ли на руководство │ │ │ │ │ │ │ 0,09 │ │

│ │(уполномоченного менеджера, │ │ │ │ │ │ │ │ │

│ │высшего менеджера и т.п.) │ │ │ │ │ │ │ │ │

│ │обязанность по координации │ │ │ │ │ │ │ │ │

│ │своевременности и качества │ │ │ │ │ │ │ │ │

│ │выполнения сотрудниками своих │ │ │ │ │ │ │ │ │

│ │ролей? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.8 │Существуют ли в организации │ │ │ │ │ │ │ 0,09 │ │

│ │выделенные роли для контроля │ │ │ │ │ │ │ │ │

│ │за качеством выполнения │ │ │ │ │ │ │ │ │

│ │требований ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.9 │Выполняются ли при приеме на │ │ │ │ │ │ │ 0,0724 │ │

│ │работу проверки идентичности │ │ │ │ │ │ │ │ │

│ │личности, точности и полноты │ │ │ │ │ │ │ │ │

│ │биографических фактов и │ │ │ │ │ │ │ │ │

│ │заявляемой квалификации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.10 │Проводятся ли проверки │ │ │ │ │ │ │ 0,0724 │ │

│ │профессиональных навыков и │ │ │ │ │ │ │ │ │

│ │оценка профессиональной │ │ │ │ │ │ │ │ │

│ │пригодности кандидатов при │ │ │ │ │ │ │ │ │

│ │приеме на работу, связанную с │ │ │ │ │ │ │ │ │

│ │защищаемыми активами и │ │ │ │ │ │ │ │ │

│ │операциями? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.11 │Имеются ли письменные │ │ │ │ │ │ │ 0,045 │ │

│ │обязательства сотрудников о │ │ │ │ │ │ │ │ │

│ │соблюдении конфиденциальности │ │ │ │ │ │ │ │ │

│ │всей защищаемой информации, │ │ │ │ │ │ │ │ │

│ │доверенной или ставшей им │ │ │ │ │ │ │ │ │

│ │известной в процессе │ │ │ │ │ │ │ │ │

│ │выполнения служебных │ │ │ │ │ │ │ │ │

│ │обязанностей, а также о │ │ │ │ │ │ │ │ │

│ │приверженности правилам │ │ │ │ │ │ │ │ │

│ │корпоративной этики, включая │ │ │ │ │ │ │ │ │

│ │требования по недопущению │ │ │ │ │ │ │ │ │

│ │конфликта интересов? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.12 │Обеспечивается ли │ │ │ │ │ │ │ 0,045 │ │

│ │компетентность персонала в │ │ │ │ │ │ │ │ │

│ │области ИБ с помощью процессов│ │ │ │ │ │ │ │ │

│ │обучения, осведомленности │ │ │ │ │ │ │ │ │

│ │персонала, а также │ │ │ │ │ │ │ │ │

│ │периодической проверки его │ │ │ │ │ │ │ │ │

│ │компетентности в области ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M1.13 │Определены ли в трудовых │ │ │ │ │ │ │ 0,0452 │ │

│ │контрактах всех сотрудников │ │ │ │ │ │ │ │ │

│ │обязанности по выполнению │ │ │ │ │ │ │ │ │

│ │требований ИБ? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M1 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘