Групповой показатель M30 "Непрерывность обеспечения ИБ и использование опыта при принятии и реализации решений"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.1 │Используется ли опыт │ │ │ │ │ │ │ 0,08 │ │

│ │организации, других │ │ │ │ │ │ │ │ │

│ │организаций при принятии │ │ │ │ │ │ │ │ │

│ │решений и их реализации │ │ │ │ │ │ │ │ │

│ │(например, опыт, накопленный │ │ │ │ │ │ │ │ │

│ │организацией и другими │ │ │ │ │ │ │ │ │

│ │организациями и отраженный в │ │ │ │ │ │ │ │ │

│ │нормативных актах)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.2 │Есть ли в организации служба │ │ │ │ │ │ │ 0,08 │ │

│ │ИБ как отдельная │ │ │ │ │ │ │ │ │

│ │функциональная структура? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.3 │Существует ли отдельная статья│ │ │ │ │ │ │ 0,08 │ │

│ │бюджета организации для │ │ │ │ │ │ │ │ │

│ │финансирования обеспечения ИБ?│ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.4 │Имеет ли служба ИБ куратора в │ │ │ │ │ │ │ 0,08 │ │

│ │руководстве организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.5 │Назначены ли лица, │ │ │ │ │ │ │ 0,08 │ │

│ │ответственные за реализацию │ │ │ │ │ │ │ │ │

│ │политики ИБ организации и │ │ │ │ │ │ │ │ │

│ │поддержание ее в актуальном │ │ │ │ │ │ │ │ │

│ │состоянии? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.6 │Осуществляется ли анализ │ │ │ │ │ │ │ 0,056 │ │

│ │отсутствия разрывов в │ │ │ │ │ │ │ │ │

│ │технологических процессах │ │ │ │ │ │ │ │ │

│ │обеспечения ИБ организации, │ │ │ │ │ │ │ │ │

│ │представляющих собой, │ │ │ │ │ │ │ │ │

│ │например, нахождение │ │ │ │ │ │ │ │ │

│ │защищаемых активов вне │ │ │ │ │ │ │ │ │

│ │защищаемой оболочки, вне │ │ │ │ │ │ │ │ │

│ │защитных мер, а также │ │ │ │ │ │ │ │ │

│ │несогласованность защитных │ │ │ │ │ │ │ │ │

│ │мер? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.7 │Определены ли процедуры │ │ │ │ │ │ │ 0,08 │ │

│ │контроля за изменением │ │ │ │ │ │ │ │ │

│ │конфигурации АБС организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.8 │Анализируется ли влияние на ИБ│ │ │ │ │ │ │ 0,056 │ │

│ │организации изменений, │ │ │ │ │ │ │ │ │

│ │коснувшихся бизнес-процессов │ │ │ │ │ │ │ │ │

│ │организации? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.9 │Анализируется ли влияние на ИБ│ │ │ │ │ │ │ 0,056 │ │

│ │организации изменений │ │ │ │ │ │ │ │ │

│ │технологий? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.10 │Анализируется ли влияние на ИБ│ │ │ │ │ │ │ 0,056 │ │

│ │организации изменений внешних │ │ │ │ │ │ │ │ │

│ │событий (изменения │ │ │ │ │ │ │ │ │

│ │законодательства, социального │ │ │ │ │ │ │ │ │

│ │климата)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.11 │Предусматривает ли план │ │ │ │ │ │ │ 0,08 │ │

│ │действий в нештатных ситуациях│ │ │ │ │ │ │ │ │

│ │возможные последствия │ │ │ │ │ │ │ │ │

│ │нештатных ситуаций? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.12 │Предусматривает ли план │ │ │ │ │ │ │ 0,08 │ │

│ │обеспечения непрерывности │ │ │ │ │ │ │ │ │

│ │бизнеса организации возможные │ │ │ │ │ │ │ │ │

│ │способы возобновления бизнеса?│ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.13 │Определены ли документально │ │ │ │ │ │ │ 0,08 │ │

│ │процедуры, которые должны быть│ │ │ │ │ │ │ │ │

│ │реализованы в нештатных │ │ │ │ │ │ │ │ │

│ │ситуациях для каждого │ │ │ │ │ │ │ │ │

│ │сотрудника? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M30.14 │Регулярно ли проверяется │ │ │ │ │ │ │ 0,056 │ │

│ │руководством организации │ │ │ │ │ │ │ │ │

│ │отработка плана действий в │ │ │ │ │ │ │ │ │

│ │нештатных ситуациях и других │ │ │ │ │ │ │ │ │

│ │планов, связанных с │ │ │ │ │ │ │ │ │

│ │восстановлением и │ │ │ │ │ │ │ │ │

│ │непрерывностью бизнеса │ │ │ │ │ │ │ │ │

│ │организации с целью │ │ │ │ │ │ │ │ │

│ │обеспечения их актуальности и │ │ │ │ │ │ │ │ │

│ │эффективности? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M30 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘