Групповой показатель M10 "Анализ и оценка рисков ИБ, варианты обработки рисков ИБ"

┌───────────┬──────────────────────────────┬───────────────────────────────┬───────────────┬─────────────┐

│Обозначение│ Частный показатель ИБ │ Оценка частного показателя ИБ │ Коэффициент │ Вычисленное │

│ частного │ ├───┬─────┬─────┬─────┬────┬────┤ значимости │ значение │

│показателя │ │ 0 │0,25 │ 0,5 │0,75 │ 1 │н/о │ частного │показателя ИБ│

│ ИБ │ │ │ │ │ │ │ │ показателя ИБ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.1 │Осуществляется ли в │ │ │ │ │ │ │ 0,0794 │ │

│ │организации оценка рисков ИБ, │ │ │ │ │ │ │ │ │

│ │в том числе связанных с │ │ │ │ │ │ │ │ │

│ │неисполнением требований │ │ │ │ │ │ │ │ │

│ │нормативных актов Банка │ │ │ │ │ │ │ │ │

│ │России, имеющих отношение к │ │ │ │ │ │ │ │ │

│ │ИБ, а также связанных с │ │ │ │ │ │ │ │ │

│ │угрозами нарушения процессов │ │ │ │ │ │ │ │ │

│ │управления ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.2 │Существует ли документ │ │ │ │ │ │ │ 0,0714 │ │

│ │(документы), в котором │ │ │ │ │ │ │ │ │

│ │(которых) отражены результаты │ │ │ │ │ │ │ │ │

│ │анализа и оценки рисков ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.3 │Определены ли роли в части │ │ │ │ │ │ │ 0,0794 │ │

│ │деятельности по оценке и │ │ │ │ │ │ │ │ │

│ │обработке рисков ИБ и │ │ │ │ │ │ │ │ │

│ │определена ли ответственность │ │ │ │ │ │ │ │ │

│ │исполнителей, выполняющих │ │ │ │ │ │ │ │ │

│ │данные роли? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.4 │Назначены ли в организации │ │ │ │ │ │ │ 0,0794 │ │

│ │лица, ответственные за │ │ │ │ │ │ │ │ │

│ │управление рисками ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.5 │Выполнена ли идентификация │ │ │ │ │ │ │ 0,0794 │ │

│ │информационных активов и их │ │ │ │ │ │ │ │ │

│ │уязвимостей? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.6 │Выполнена ли оценка │ │ │ │ │ │ │ 0,0794 │ │

│ │потенциального ущерба бизнесу │ │ │ │ │ │ │ │ │

│ │организации в случае │ │ │ │ │ │ │ │ │

│ │реализации угроз ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.7 │Анализируется ли и учитывается│ │ │ │ │ │ │ 0,0714 │ │

│ │ли при оценке рисков ИБ │ │ │ │ │ │ │ │ │

│ │степень актуальности угроз? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.8 │Пересматриваются ли перечень │ │ │ │ │ │ │ 0,0714 │ │

│ │актуальных угроз │ │ │ │ │ │ │ │ │

│ │информационным активам │ │ │ │ │ │ │ │ │

│ │организации и степень их │ │ │ │ │ │ │ │ │

│ │актуальности? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.9 │Анализируется ли и учитывается│ │ │ │ │ │ │ 0,0714 │ │

│ │ли при оценке рисков ИБ │ │ │ │ │ │ │ │ │

│ │степень актуальности │ │ │ │ │ │ │ │ │

│ │уязвимостей информационных │ │ │ │ │ │ │ │ │

│ │активов? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.10 │Пересматривается ли перечень │ │ │ │ │ │ │ 0,0714 │ │

│ │уязвимостей информационных │ │ │ │ │ │ │ │ │

│ │активов организации и степень │ │ │ │ │ │ │ │ │

│ │их актуальности? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.11 │Оценивается ли возможность │ │ │ │ │ │ │ 0,0644 │ │

│ │переноса информационных рисков│ │ │ │ │ │ │ │ │

│ │на другие стороны (например, │ │ │ │ │ │ │ │ │

│ │страховщиков, поставщиков, │ │ │ │ │ │ │ │ │

│ │органы сертификации и т.п.)? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.12 │Учитываются ли данные об │ │ │ │ │ │ │ 0,0644 │ │

│ │инцидентах ИБ при оценке │ │ │ │ │ │ │ │ │

│ │рисков ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.13 │Проводятся ли в организации │ │ │ │ │ │ │ 0,0714 │ │

│ │обсуждения деятельности по │ │ │ │ │ │ │ │ │

│ │оценке и обработке рисков ИБ с│ │ │ │ │ │ │ │ │

│ │участием высшего руководства и│ │ │ │ │ │ │ │ │

│ │руководителя службы ИБ? │ │ │ │ │ │ │ │ │

├───────────┼──────────────────────────────┼───┼─────┼─────┼─────┼────┼────┼───────────────┼─────────────┤

│ M10.14 │Определены ли в организации │ │ │ │ │ │ │ 0,0458 │ │

│ │критерии для принятия рисков │ │ │ │ │ │ │ │ │

│ │ИБ и уровни приемлемых рисков │ │ │ │ │ │ │ │ │

│ │ИБ? │ │ │ │ │ │ │ │ │

├───────────┴──────────────────────────────┴───┴─────┴─────┴─────┴────┴────┴───────────────┼─────────────┤

│ Итоговая оценка группового показателя M10 │ │

└──────────────────────────────────────────────────────────────────────────────────────────┴─────────────┘